Android-Sicherheitslücke bedroht 99% aller Geräte

Galaxy S4 -imp
04.07.2013 - von

Android Updates mit neuen Funktionen sind eine schöne Geschichte, berichten wir auch sehr gerne drüber, doch Sicherheitslücken sollten so schnell wie nur möglich durch die Hersteller und natürlich auch Google gestopft werden. Das ist anscheinend nicht passiert, wie sich nun herausgestellt hat und so sind aktuell 99% aller Android Geräte durch die schon vor Monaten aufgetauchte Sicherheitslücke bedroht.

Die Sicherheitsfirma Bluebox hat eine Sicherheitslücke entdeckt, die bereits seit Android 1.6 Donut bis zur neusten Version 4.2.2 Jelly Bean vorhanden ist. Darüber lässt sich schadhafter Code in eine App einschleusen, ohne dass die Signatur, die genau das verhindern soll, verändert wird. Installiert man so eine App, bekommen Angreifer Zugriff auf Anwenderdaten und Passwörter, die auf dem Smartphone oder Tablet gesichert sein können. Außerdem soll es möglich sein bestimmte Funktionen der Geräte auszuführen. Dazu gehören unbemerkte Anrufe oder SMS, die verschickt werden können.

Das größte Risiko besteht natürlich bei Apps, die man sich nicht über den offiziellen Google Play Store herunterlädt. Bluebox rät dazu nur Apps zu installieren, wo man fest davon überzeugt ist, dass man dem Entwickler oder Hersteller vertraut. Ansonsten kann das eigene Geräte ohne großes Zutun gekapert werden.

Dabei wurde die Sicherheitslücke von Bluebox bereits im Februar 2013 an Google gemeldet. Google soll die einzelnen Hersteller dann im März über die Sicherheitslücke informiert haben. Bisher hat nur Samsung ein Update für das Galaxy S4 ausgerollt, mit dem diese Sicherheitslücke gestopft wird. Alle anderen Smartphones und Tablets, selbst Nexus Geräte, sind von diesem Problem immer noch betroffen.

Jetzt wo man mit der Sicherheitslücke an die Öffentlichkeit gegangen ist, stehen viele Hersteller und auch Google unter Druck und müssen eigentlich ein Update ausliefern, welches diese Sicherheitslücke schließt. Da Samsung dies bereits getan hat, gibt es eine Lösung, die hoffentlich weitergereicht wird. Wir halten euch natürlich auf dem Laufenden, wenn sich die einzelnen Hersteller oder aber auch Google zu Wort melden.

Hätten die Hersteller und Google nicht schon längst reagieren müssen?

Anzeige:

[via golem]

Artikel bewerten:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Stimme(n), 5,00 von 5)
  • Pingback: Sicherheitslücke bei Android betrifft fast alle Geräte | Tablet Geeks

  • Shorty1981

    Betrifft diese Lücke auch Amazon und Samsung App Store?
    Hab ich das richtig verstanden, das wenn man ein SGS4 besitzt diese Lücke bereits geschlossen wurde?Falls ja, kann ich mich ja zurücklehnen und weiterhin Apps aus anderen Stores bzw. Seiten wie Chip und co. instalieren :-) .

  • Schnitzeldroid

    dann hoffe ich mal das Google mit 4.3 ein update dafür rausbringt!

  • Porscheprolet

    Schon mal überlegt, dass es unter Umständen kein Bug sondern ein Feature ist?

    • http://traceable.de/ Peter

      Für die NSA? ^^

      • Porscheprolet

        Kannst Du Dich wie ein erwachsener Mensch Deiner Altersgruppe benehmen? Ist das möglich? Schön :)

        Wenn ein Bug sich wie ein Feature liest:

        “Installiert man so eine App, bekommen Angreifer Zugriff auf
        Anwenderdaten und Passwörter, die auf dem Smartphone oder Tablet
        gesichert sein können. Außerdem soll es möglich sein bestimmte
        Funktionen der Geräte auszuführen. Dazu gehören unbemerkte Anrufe oder
        SMS, die verschickt werden können.”

        und sich mehr oder weniger von Anbeginn durch alle Versionen zieht und praktischerweise das ganze im Stealth Modus durchführt: “Darüber lässt sich schadhafter Code in eine App einschleusen, ohne dass
        die Signatur, die genau das verhindern soll, verändert wird.”

        Nicht unbedingt wie ein Bug liest.

        Da Du wohl nicht so firm in SIGINT Dingen bist und jung, sei mir ein Hinweis auf den NSA “Bug” aus den 90zigern vom Microsoft gestattet.

        http://www.heise.de/tp/artikel/5/5263/1.html

        für Dich aber gern noch auf Deutsch:

        http://www.heise.de/tp/artikel/5/5274/1.html

        • http://traceable.de/ Peter

          Ich glaub ich muss mein Sarkasmus-Schild mal wieder rausholen. ;-)

          Da erste Unternehmen die Sicherheitslücke bereits geschlossen haben und auch Google an einem Update für die Nexus Geräte arbeitet, kann man davon ausgehen, dass es sich um einen Bug und um kein Feature handelt.

  • seppl

    Das Grundproblem ist Android: während heutzutage praktisches jedes Desktop Betriebssystem mit einem Klick aktualisieren lässt, ist man bei (Android-)Smartphones voll gearscht. Wenn man Glück hat, bekommt man für sein nagelneues Smartphone vielleicht noch 1-2 updates in den ersten 12 Monaten. Danach geht nix mehr. Das Argument ist immer das Gleiche: die Hersteller müssten ihre Versionen ja auch anpassen – insofern ist das ein bug in Android. Einer der weltgrößten Software-Hersteller bringt es nicht fertig, den Androidkern automatisch zu aktualisieren. Wenigstens Sicherheitspatches sollten jederzeit ohne Anpassungen der spezifischen Smartphone-Hersteller möglich sein.

    Ich glaube nicht, daß irgendein Hersteller den Aufwand betreiben wird und unzählige Versionen aktualisiert, die älter als 1 Jahr sind. Im Gründe müsste man sein Android-Smartphone wegwerfen (vorher zerstören!) und ein neues mit aktuellstem Android kaufen. Bis wieder 1 Jahr vergangen ist … :-(