Categories: Sicherheit

IBM: Schwachstelle in Android lässt Angreifer beliebigen Code ausführen

Sicherheitsforscher von IBM haben eine weitere kritische Sicherheitslücke in Android entdeckt. Sie soll über 55 Prozent aller Android-Smartphones betreffen – von Android 4.3 bis zu 5.1 und der ersten Vorschauversion von Android M. Angreifer könnten durch Ausnutzung dieser kritischen Serialization-Lücke weitreichende Systemrechte erhalten. Sie können dadurch eigenen Code in Apps und Services auf dem Gerät ausführen und beispielsweise eine bösartige App als eine Art „Super-App“ einsetzen, auch wenn diese zuvor über keine Berechtigungen verfügte.

Wie Roee Hay und Or Peles vom X-Force Application Security Research Team bei IBM ausführen, können Angreifer die Schwachstelle ausnutzen, um eine auf dem jeweiligen Gerät laufende Anwendung zu ersetzen. Das erlaube ihnen anschließend, auf alle dieser App zugänglichen Daten zuzugreifen. Selbst wenn die Daten verschlüsselt wären, könnte die gefälschte App mühelos die Anmeldedaten des Nutzers stehlen. Die Angreifer könnten außerdem SELinux umgehen durch die Änderung der SELinux-Richtlinien und auf einigen Geräten sogar beliebigen Kernel-Code ausführen. In einer Videodemonstration zeigen die Forscher, wie sie die Facebook-App durch eine andere App ersetzen.

„Die entdeckten Schwachstellen resultieren daraus, dass es einem Angreifer möglich ist, die Pointerwerte während der Objekt-Deserialisierung im frei wählbaren Speicherplatz der App zu kontrollieren“, schreiben die Sicherheitsexperten in einem Blogeintrag. Dieser könne anschließend durch nativen App-Code genutzt werden. Als Einfallstor machten Peles und Hay die Klasse OpenSSLX509Certificate aus und schufen einen Proof-of-Concept-Exploit, der die Ausführung beliebigen Codes erlaubt.

Die Schwachstelle wurde nicht nur in Android und Google Play Services gefunden, sondern auch in verschiedenen Software Development Kits von Drittanbietern. Den Entdeckern zufolge war es nicht besonders schwierig, den Fehler zu beheben. Laut Peles hat Google das Problem in Android 4.4, 5.0, 5.1 sowie im kommenden Android M gefixt. Auch Drittanbieter sollen bei ihren SDKs für Abhilfe gesorgt haben.

Mit StageFright und Certifi-gate waren in den letzten Wochen bereits schwerwiegende Sicherheitslücken in Android bekannt geworden. Nach StageFright – von den Entdeckern als „Mutter aller Android-Lücken“ bezeichnet – setzte ein Umdenken hinsichtlich der Verteilung von sicherheitsrelevanen Updates ein. Google und Samsung kündigten für ihre Geräte regelmäßige Patch-Zyklen an, um die Probleme einzudämmen. Künftig soll mit einer Art regelmäßigem Patchday gewährleistet werden, dass neben den Plattform-Updates auch Sicherheitsupdates die breite Masse der Nutzer so schnell wie möglich erreichen. Allerdings scheint sich Google dafür nicht wie Microsoft und Adobe auf einen bestimmten Tag festlegen zu wollen – bei den beiden ist es der zweite Dienstag im Monat –, sondern lediglich die Selbstverpflichtung aufzuerlegen, derartige Updates mindestens einmal im Monat zu verteilen.

[mit Material von Chris Duckett, ZDNet.com]

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Was kann die Apple Watch Series 10?

Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…

3 Stunden ago

Microsoft-Clouds: GenAI verändert Servicegeschäft

ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…

3 Stunden ago

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

1 Tag ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Tag ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Tagen ago