Zero-Day-Lücke in Chrome für Android erlaubt Installation schädlicher Apps

Der chinesische Forscher Guang Gong, Mitarbeiter des Sicherheitsanbieters Quihoo 360, hat auf der Sicherheitskonferenz PacSec in Tokio eine Zero-Day-Lücke in Chrome für Android präsentiert. Sie betrifft ihm zufolge alle Android-Versionen, auf denen die jüngste Chrome-Version ausgeführt wird. Die Schwachstelle lässt sich mithilfe speziell präparierter Websites ausnutzen und erlaubt die Installation von Malware, wie The Register berichtet.

Die Anfälligkeit demonstrierte Gong demnach auf einem neuen Google Nexus 6. Es handele sich um einen einzelnen Exploit und nicht, wie sonst oft üblich, um eine Verkettung mehrerer Schwachstellen. „Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden“, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Lücke vorstellte.

„Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert“, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei wahrscheinlich jedes Android-Gerät angreifbar.

Dem Bericht zufolge wurde der Bug noch vor Ort von einem anwesenden Google-Sicherheitsingenieur geprüft. Ruiu sagte, wahrscheinlich werde Google eine Prämie an Gong bezahlen, da er die Details zu der Schwachstelle zurückgehalten habe.

ANZEIGE

MobileIron: Sichere Verwaltung von Android-Geräten

In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.

Zwei deutsche Sicherheitsforscher zeigten während des Wettbewerbs, dass bestimmte Samsung-Smartphones mithilfe einer speziell präparierten Basisstation abgehört werden können. Die Lücke steckt offenbar in der Firmware des von Samsung entwickelten Baseband-Chips. Sie erhielten, genauso wie Gong, eine Einladung zur Sicherheitskonferenz CanSecWest, die im März in Kanada stattfindet.

In den vergangenen Jahren wurde der Wettbewerb von der ehemaligen HP-Tochter Tipping Point sowie deren Zero Day Initiative gesponsert. Aufgrund des Wassenaar-Abkommens, dass Details zu Schwachstellen als genehmigungspflichtige Exportgüter einstuft, hat HP sein Engagement jedoch eingestellt. Abzuwarten bleibt, ob Trend Micro, dass Tipping Point und die Zero Day Initiative kürzlich für 300 Millionen Dollar gekauft hat, diese Entscheidung wieder zurücknimmt.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago