Sicherheitsforscher von IBM haben eine als kritisch eingestufte Schwachstelle in einem Analytics-Paket von MIUI gefunden, der von Xiaomi verwendeten Version von Googles Mobilbetriebssystem Android. Mehrere vorinstallierte Apps, die das Paket enthalten, sind anfällig für Man-in-the-Middle-Angriffe. Sie erlauben das Einschleusen und Ausführen von Schadcode auf Systemebene. Ein Angreifer könnte also aus der Ferne Schadsoftware installieren.
Entdeckt wurde die Anfälligkeit in der MIUI-Version 6.1.8. Zu den anfälligen Apps zählt unter anderem der ab Werk vorinstallierte Browser. „Wenn eine anfällige App als System-Nutzer ausgeführt wird, würde ein großer Teil des Nutzerbereichs von Android kompromittiert“, schreiben die Forscher. Mindestens eine App erfülle dieses Kriterium und habe unter Laborbedingungen eine Remotecodeausführung ermöglicht.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Schwachstelle an sich steckt in der Update-Funktion. Sie aktualisiert das Analytics-Paket der fraglichen Apps über eine unsichere Verbindung wie HTTP. Bei einem Man-in-the-Middle-Angriff kann die URL, über die das eigentliche Update heruntergeladen wird, verändert werden, um ein schädliches Installationspaket (APK) einzuschleusen. Da keine kryptografische Echtheitsprüfung der Installationsdatei durchgeführt wird, wird im Rahmen des Updates das Analytics-Paket durch das schädliche Paket ersetzt.
Xiaomi hat die Sicherheitslücke inzwischen geschlossen. Die IBM-Forscher loben in dem Zusammenhang die Zusammenarbeit mit dem chinesischen Unternehmen und seine schnelle Reaktion. Das fehlerbereinigte Update auf die MIUI-Version 7.2 steht bereits zum Download bereit.
Die Forscher raten Entwicklern zudem, ausführbaren Code nur über eine verifizierte und verschlüsselte Verbindung zu übertragen. Darüber hinaus sei es erforderlich, den Code selbst zu signieren und dessen Echtheit vor der Ausführung durch die Host-Anwendung überprüfen zu lassen.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
