Android bietet keine Möglichkeit, um die Zertifikate für erweiterte Rechte von Apps zu deaktivieren. Dies führt den beiden Check-Point-Experten Ohad Bobrov und Avi Bashan unausweichlich dazu, dass Millionen von Geräten mit Googles Betriebssystem angreifbar sind. Ihre Erkenntnisse haben sie jetzt auf der Black-Hat-Konferenz in Las Vegas präsentiert (PDF). Die beiden Sicherheitsforscher sehen derzeit weder die Möglichkeit, den Fehler zu beheben, noch gebe es eine Workaround.
Das von seinen Entdeckern Certifi-gate genannte Problem ermöglicht es Angreifern, sich unbemerkt uneingeschränkten Zugriff auf ein Android-Gerät zu verschaffen, indem sie – oft bereits vorinstallierte Anwendungen für die Fernwartung missbrauchen, die in der Regel über solche Rechte verfügen. Ausdrücklich erwähnen Bobrov und Bashan TeamViewer, Rsupport und CommuniTake Remote Care. Sie erlauben den Forschern zufolge die Ausweitung der Nutzerrechte und dadurch den Zugriff auf Funktionen, die normalerweise nur dem Besitzer zur Verfügung stehen. Als Beispiele nennen sie die Installation von Apps, die Anzeige des Standorts sowie die Aufnahme von Gesprächen über das Mikrofon.
Alle Anbieter wurden von Check Point informiert und arbeiten an einem Update. Ein Fix durch einen Patch ist laut Check Point aber nicht möglich, es müsse ein komplettes Update der Software ausgeliefert werden. Dies ist aus bekannten Gründen – insbesondere der großen Fragmentierung bei Android – aber nicht nur schwierig, sondern dauert auch lange.
Mit den nun von Google und Samsung für ihre Geräte angekündigten regelmäßigen Patch-Zyklen könnte dieses Problem zumindest eingedämmt werden. Dies Ankündigung wurde allgemein mit der Entdeckung der Stagefright-Lücke in Zusammenhang gebracht. Da beide aber von Check Point schon vorab informiert wurden, dürfte auch Certifi-gate seinen Teil dazu beigetragen haben.
Für Android-Nutzer hat Check Point bei Google Play mit dem Certifi-gate Scanner eine kostenlose App zur Verfügung gestellt, mit der sie überprüfen können, ob ihr Mobilgerät von Certifi-gate betroffen ist. Eine vergleichbare App bietet seit gestern die Firma Lookout an, damit Nutzer die Anfälligkeit ihres Mobilgeräts für Stagefright überprüfen können.
Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Neueste Kommentare
4 Kommentare zu Check Point meldet Sicherheitslücke in nahezu allen Android-Geräten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das muß Apple kanns Schön was kosten den Redaktionen so viele Geschenke zu machen das sie so eine hetze gegen Android betreiben. Jedes System geht lahm zu legen und hat Hintertürchen.
Hallo,
ich finde das nicht nett, dass Sie uns unterstellen, wir seien korrupt. Wir berichten ausgewogen und nach bestem Wissen und Gewissen über marktrelevante Ereignisse. Da gehört die jetzt von Check Point geschilderte Entdeckung eben auch dazu. Nennenswete Sicherheitslücken in iOS oder in Mac OS werden von uns genauso behandelt (siehe zum Beispiel in den vergangenen Tagen hier: http://www.zdnet.de/88243180/hacking-team-schleuste-gefaelschte-apps-auf-ios-geraete/ sowie hier: http://www.zdnet.de/88242707/exploit-fuer-ungepatchte-luecke-in-os-x-10-10-ermoeglicht-root-rechte/). Falls Sie den Eindruck gewonnen haben, es findet aktuell eine „Hetze“ gegen Android statt, dann mag das auch daran liegen, dass sich diese Woche Sicherheitsexperten in Las Vegas trafen und dort im Rahmen der Konferenz Black Hat allerlei Sicherheitslücken enthüllt haben – darunter eben auch viele in Android. Dem Überbringer der schlechten Nachricht gegen das Schienbein zu treten, ist allerdings kein guter Stil.
Peter Marwan
Redaktion ZDNet
@peter Marwan
Gott verteilt seine Gaben eben sehr unterschiedlich. Es lohnt die Mühe nicht, sich wegen solch schwachsinniger Behauptungen aufzuregen.
mfg R.K.
Alle Tage wieder, die nächste kritische Lücke. Android implodiert gerade.