Categories: Sicherheit

IBM: Schwachstelle in Android lässt Angreifer beliebigen Code ausführen

Sicherheitsforscher von IBM haben eine weitere kritische Sicherheitslücke in Android entdeckt. Sie soll über 55 Prozent aller Android-Smartphones betreffen – von Android 4.3 bis zu 5.1 und der ersten Vorschauversion von Android M. Angreifer könnten durch Ausnutzung dieser kritischen Serialization-Lücke weitreichende Systemrechte erhalten. Sie können dadurch eigenen Code in Apps und Services auf dem Gerät ausführen und beispielsweise eine bösartige App als eine Art „Super-App“ einsetzen, auch wenn diese zuvor über keine Berechtigungen verfügte.

Wie Roee Hay und Or Peles vom X-Force Application Security Research Team bei IBM ausführen, können Angreifer die Schwachstelle ausnutzen, um eine auf dem jeweiligen Gerät laufende Anwendung zu ersetzen. Das erlaube ihnen anschließend, auf alle dieser App zugänglichen Daten zuzugreifen. Selbst wenn die Daten verschlüsselt wären, könnte die gefälschte App mühelos die Anmeldedaten des Nutzers stehlen. Die Angreifer könnten außerdem SELinux umgehen durch die Änderung der SELinux-Richtlinien und auf einigen Geräten sogar beliebigen Kernel-Code ausführen. In einer Videodemonstration zeigen die Forscher, wie sie die Facebook-App durch eine andere App ersetzen.

„Die entdeckten Schwachstellen resultieren daraus, dass es einem Angreifer möglich ist, die Pointerwerte während der Objekt-Deserialisierung im frei wählbaren Speicherplatz der App zu kontrollieren“, schreiben die Sicherheitsexperten in einem Blogeintrag. Dieser könne anschließend durch nativen App-Code genutzt werden. Als Einfallstor machten Peles und Hay die Klasse OpenSSLX509Certificate aus und schufen einen Proof-of-Concept-Exploit, der die Ausführung beliebigen Codes erlaubt.

Die Schwachstelle wurde nicht nur in Android und Google Play Services gefunden, sondern auch in verschiedenen Software Development Kits von Drittanbietern. Den Entdeckern zufolge war es nicht besonders schwierig, den Fehler zu beheben. Laut Peles hat Google das Problem in Android 4.4, 5.0, 5.1 sowie im kommenden Android M gefixt. Auch Drittanbieter sollen bei ihren SDKs für Abhilfe gesorgt haben.

Mit StageFright und Certifi-gate waren in den letzten Wochen bereits schwerwiegende Sicherheitslücken in Android bekannt geworden. Nach StageFright – von den Entdeckern als „Mutter aller Android-Lücken“ bezeichnet – setzte ein Umdenken hinsichtlich der Verteilung von sicherheitsrelevanen Updates ein. Google und Samsung kündigten für ihre Geräte regelmäßige Patch-Zyklen an, um die Probleme einzudämmen. Künftig soll mit einer Art regelmäßigem Patchday gewährleistet werden, dass neben den Plattform-Updates auch Sicherheitsupdates die breite Masse der Nutzer so schnell wie möglich erreichen. Allerdings scheint sich Google dafür nicht wie Microsoft und Adobe auf einen bestimmten Tag festlegen zu wollen – bei den beiden ist es der zweite Dienstag im Monat –, sondern lediglich die Selbstverpflichtung aufzuerlegen, derartige Updates mindestens einmal im Monat zu verteilen.

[mit Material von Chris Duckett, ZDNet.com]

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago