Androids Signaturprüfung weiterhin fehlerhaft

Nachrichten

Wieder wurde eine neue Sicherheitslücke im Android-Betriebssystem entdeckt. Chinesischer Blogger entdecken eine Schwachstelle, die der ähnelt, die bereits die Firma Bluebox vor zwei Wochen veröffentlichte. Die Schwachstelle betrifft vor allem die Signaturprüfung von Android, die dazu da ist, Apps zu kontrollieren.

 

Die Signaturprüfung von Android soll eigentlich verhindern, dass sich Apps von zwielichtigen Anbietern auf dem Betriebssystem installieren lassen. Dabei geht es vor allem darum, dass diese nicht zu viele Daten abfragen, die eventuell kriminell nutzbar sein könnten. Die nun entdeckte Schwachstelle ermöglicht es allerdings, dass sogar bereits installierte Apps so manipuliert werden können, dass es Außenstehenden, die diese Manipulation durchgeführt haben, möglich ist, Kontrolle über das Gerät zu übernehmen. Dies hängt natürlich stark von ab, wie viele und welche Rechte der installierten App eingeräumt wurde. Es handelt sich hierbei also um eine schwer wiegendere Lücke.

 

Die von den chinesischen Bloggern entdeckte Lücke, sowie auch die von Bluebox herausgefundene, sollen beide mit dem CyanogenMod-Update auf die Version 10.1.2 behoben worden sein. Google soll schon tätig geworden sein und bereits einen Patch für die von Bluebox herausgefundene Schwachstelle entwickelt haben. Das berichtet das australische Magazin CIO. Allerdings soll dieser Patch bisher nur für Samsung S4 Geräte verfügbar sein. Wie es sich mit anderen Geräten verhält, dazu gibt es bisher noch keine Informationen.

 

Bluebox wollte seinen Fund bei der BlackHat-Konferenz ausführlich beschreiben, bisher hat das Unternehmen das nur oberflächlich getan. Ein Entwickler ist dem allerdings schon zuvorgekommen. Er veröffentlichte einen Exploit auf Basis des von Google entwickelten Patches.

 

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.