Home » Sonstiges » Android: Sicherheitslücke betrifft 99 Prozent aller Geräte

Android: Sicherheitslücke betrifft 99 Prozent aller Geräte

Sicherheitsexperten der Firma Bluebox Security haben kürzlich auf eine weitreichende Sicherheitslücke im mobilen Betriebssystem Android hingewiesen. Die Lücke besteht bereits seit knapp 4 Jahren und betrifft etwa 99 Prozent aller Android-Endgeräte, die momentan im Umlauf sind. Die Sicherheitslücke ermöglicht es Hackern, Kontrolle über Geräte zu erlangen, Passwörter auszuspähen, auf das Mikrofon und die Kamera zuzugreifen und vieles mehr. So wäre es beispielsweise möglich, mehrere Millionen Android-Geräte zu einer Art Bot-Netz zusammenzuschließen. Mehreren Einschätzungen nach ist die Lücke aber weniger gefährlich, als es anfangs den Anschein machte.

Nahezu alle Android-Geräte sind betroffen

Betroffen sind laut Bluebox Security alle Android-Geräte ab Version 1.6 – also mit anderen Worten so gut wie jedes Endgerät, das sich momentan im Umlauf befindet. Die Sicherheitslücke bietet die kryptographischen Signaturen von Android-Apps als Einfallstor. Android-Apps werden als .apk-Dateien installiert und sind mit einer verschlüsselten Signatur versehen, die Manipulationen am Quellcode verhindern soll. Nach Angaben von Bluebox Security wurde allerdings eine Methode entdeckt, wie man manipulierte apk-Dateien an diesem System vorbeischmuggeln  und so Malware auf die Endgeräte bringen kann, ohne dass diese blockiert oder abgewiesen wird.

Die Lücke ist seit Februar bekannt

Bluebox hat sich bereits im Februar im Rahmen eines Bug-Reports an Google gewandt und wird auf der BlackHat Conference 2013 Proof-of-Concept für verschiedene Geräte vorstellen. Ein wirkliches Statement von Google steht noch aus, jedoch gab das Unternehmen bekannt, dass es letztlich an den Herstellern läge, ihre Geräte mit entsprechenden Updates zu versehen. Nach einem Bericht von ComputerWorld hat bisher nur Samsung reagiert und de Lücke mittels eines Updates für das Galaxy S4 zumindest auf diesem Gerät geschlossen. Hier kommt nun eine systembedingte Schwäche Androids zum Tragen: Updates müssen von den Herstellern für jedes Gerät einzeln freigegeben werden, und dies geschieht traditionell nur sehr langsam. Bisher ist Samsung der einzige Hersteller, der auf das Bekanntwerden der Lücke reagiert hat.

Partielles Containment

Auch wenn es letztlich an den Herstellern liegt, diese Lücke zu schließen und das bisher nur sehr langsam bis nahezu gar nicht passiert, hat Google dennoch Möglichkeiten, zu reagieren und diese auch genutzt. Laut CIO wurde der Google Play Store mit einem Update versehen, sodass Apps, die den Exploit nutzen nun erkannt und abgewiesen werden. Dies ist zwar zu begrüßen und erhöht die Sicherheit für viele Android-Nutzer erheblich, ist aber nicht geeignet, die Lücke vollends zu schließen. Zum einen gibt es mehrere Drittpartei-App-Stores für Android, und zum anderen können User immer noch dazu gebracht werden, für eine im Play Store erworbene App ein manuelles und verseuchtes Update einzuspielen.

Daher sollten Android-User momentan nur noch Apps aus dem Google Play Store beziehen und auch ihre Updates über diesen einspielen. Wer auf Apps von Drittpartei-Stores zurückgreift, geht momentan ein hohes Sicherheitsrisiko ein. Zumindest, bis die Lücke durch die Hersteller geschlossen wurde. Und das dürfte noch eine ganze Weile dauern bzw. wird höchstwahrscheinlich nicht vollends passieren.

 

(via Apple Insider)

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.


74 Kommentare

  1. P.S.: noch wer Popcorn =? ;))))))))))))))))))))

  2. Zitat Martina :

    zwischenstatus zum kommentar lesen:
    Popcorn klein 1,90€ – 30 mal verkauft
    Popcorn mittel 2,20€ – 55 mal verkauft
    Popcorn groß 2,50€ – 21 mal verkauft
    Kühle Coke 2€ – 343 mal verkauft
    Kaputtes Androidsystem 3,80 – kauft leider immer noch keiner :(
    Kaputtes iPhone System (immer noch nicht auf Lager)

    ach ist das ehrlich, keiner hat echt ahnung und versucht sich mit beschimpfungen und zahlen und blabla bubu zu machen….apirin schluckt immer noch nichts, weil da nichts mehr hilft, kingkong ist wie immer king (gute kommentare!)
    Thomas ist wie immer offtopic und ich knabbere mein popcorn und werd reich ;))))
    Ein Apple user der sich immer noch freut kein Roboter zu sein (Android).

    Ach du schon wieder ;) fällt dir nichts anderes mehr ein.

  3. Ich frage mich jetzt ernsthaft warum hier so vehement emotional diskutiert wird.
    Die Sache wurde mehrfach richtig dargestellt.

    Wer Angst davor hat oder es sich nicht zutraut ein Häkchen an der richtigen Stelle zu lassen, kauft sich eben ein Iphone. Aber ja nicht jailbreaken….

  4. @Aspirin
    ja schon klar, aber ich muss doch meine Statistik erfüllen. Keine Ahnung woher meine Promotion gekommen ist, vielleicht auch nur geGutenberg’ed

    Fakt ist das Android die meisten Malware, das unsicherste System eines Datensammlers und die weiteste verbreitung hat weil kostenlos. Komisch ist nur, da werdet ihr mal staunen:
    Google will den Support 2015 für Android einstellen und lieber sein eigenes „handle’bares“ system Chrome OS pushen.. ;)) was machen wir den dann =? …. sicher ist Chrome OS.. basiert ja dummerweise auf dem UNIX Webkit … und das ist von ratet mal: Apple entworfen ;))))))) da surfen die Chromer so vor sich hin und wissen gar nicht das Sie Apple Software mit sich herum schleppen ;))))

  5. P.S.: ich bin keine Deutsche und deswegen Verzeihung für die Groß und klein Schreibung und die Kommata.. das will so einfach nicht an mich…
    So letzte Fuhre Popcorn .. schreit keiner „hier“ ???

  6. Pssst:
    Apple sammelt auch Daten. Siehw Prism Skandal.
    Und wenn erst mal der Fingerabdrucksensor kommt…haben sie sogar biometrische Daten.

    Ich traue keiner amerikanischen Firma über den Weg.
    Nicht Apple und nicht Google. Und schon gar nicht Facebook.

  7. Grins.. du hast da was falsch verstanden. Es geht nichtum die wenigen Gericht angeordneten sachen es geht darum das GOOGLE ALLES SAMMELT von Dir auf einem ROBOTER Fon .. lies dir mal die EULA durch …
    okay .. Apple sagt in der iTunes EULA auch du darfst mit den heruntergeladenen Programme keine Atombomben bauen (steht dort wirklich!).. aber das ist eben funny.. Google sammelt alles, dein Bewegungsdaten (Google Now) deine Werbe relevantes an und aus sein deines Fons, was du klickst Google Analytics und wieviel Termine und Telefonate du führst.. alles.. EULA lesen ;)))
    oh vergass.. robotor .. sorry.. End-User-Licence-Agreement = EULA…

  8. Die Geräteverseuchung der Androiden und das Android im diesem Punkt Windows in nicht nachsteht, sage ich nach Fachinformationen die ich gelesen habe (und die Autoren sind schlauer als wir) schon seit Android auf dem Markt ist..

    Das ist der Preis den der User für ein offenes System zahlt.

  9. Martina ich find dich sympathisch :D

  10. und ich hab mich grad in Martina verliebt :D :D :’D

  11. Uff…also mein Zwerchfell wurde gestern gut trainiert. Ein heiterer Abend. Welche blödsinnigen Statistiken angeführt wurden, um sich selbst Recht zu geben und den anderen ins Unrecht zu setzen. Interessant auf was so manche Hirne alles zurückgreifen, um Beweise dafür anzuführen, das sie im Recht sind. Aspire (die Inspirierte) hat dabei den Volltreffer gelandet. Glückwunsch! Dir gehört der Pokal. Also, mehr geht nicht…wirklich.

    Martina! Popcorn groß 2,50€ – gibt es einen Lieferservice? Heute hätte ich Lust auf dein Popcorn.
    Fjuge, verlieb dich nicht, die Hübsche ist verheiratet.

  12. Mipopi, Finger weg! Pass auf dein Herz auf!

  13. Lieber Alex, Dein Artikel hat so manche Leber-Chi-Stagnation aufgelöst. Da könnte Dir einige dafür dankbar sein.

  14. Also ich denke auch, das jemand der z.B. Paybackpunkte sammelt sich keine Gedanken über Sammelwut von Google und Apple zu machen braucht.

    Ich jedenfalls finde das in beiden Fällen nicht dramatisch.

    Ansonsten keinerlei Virenbelastung auf 5 Androiden und auch nicht auf den Apple Geräten, die sich ja heute hoffentlich vermehren……

    Man sollte aber die Kreuzchen an der richtigen Stelle setzen, als Fremdstores grundsätzlich ausschalten, es sei denn es sind bekannte wie Chip oder Amazon und co.

  15. Irgendwie muss ich bei allem, Nachricht und den folgenden Kommentaren einfach nur grinsen.

  16. Zitat Joe :

    Uff…also mein Zwerchfell wurde gestern gut trainiert. Ein heiterer Abend. Welche blödsinnigen Statistiken angeführt wurden, um sich selbst Recht zu geben und den anderen ins Unrecht zu setzen. Interessant auf was so manche Hirne alles zurückgreifen, um Beweise dafür anzuführen, das sie im Recht sind. Aspire (die Inspirierte) hat dabei den Volltreffer gelandet. Glückwunsch! Dir gehört der Pokal. Also, mehr geht nicht…wirklich.

    Martina! Popcorn groß 2,50€ – gibt es einen Lieferservice? Heute hätte ich Lust auf dein Popcorn.
    Fjuge, verlieb dich nicht, die Hübsche ist verheiratet.

    Wen du schon ein auf schlau machst dann richtig. Du hast meinen Namen erst einmal falsch geschrieben und dann noch die falsche Übersetzung. Mein Nickname ist „Aspiriere“ und bedeutet „die Hoffnung Bringende“

    Aber bei dir und macfee ist ja die Hoffnung auf ein Großhirn verloren gegangen.

    Zitat Fjuge :

    Martina ich find dich sympathisch :D

    Ich glaube nicht das die Bilder von Martina sind, brauchst also nicht geil werden :)

  17. Zitat Joe :

    Lieber Alex, Dein Artikel hat so manche Leber-Chi-Stagnation aufgelöst. Da könnte Dir einige dafür dankbar sein.

    Ohh , da kennt sich aber einer mit prämenstruelle Syndrome aber sehr gut aus

  18. Zitat Aspiriere :

    Zitat Joe :

    Lieber Alex, Dein Artikel hat so manche Leber-Chi-Stagnation aufgelöst. Da könnte Dir einige dafür dankbar sein.

    Ohh , da kennt sich aber einer mit prämenstruelle Syndrome aber sehr gut aus

    Na ja, wer kann der kann!
    Vermute…schnell mal gegoogelt, oder? PMS ist nur ein kleiner Symptomenbereich. Da gibt es ganz andere wichtigere Stauungen…

  19. Seit Jahren gibt es sowas wie eine Lachtherapie. Die kostet richtig Geld, soweit ich informiert bin. Das finde ich hier umsonst. Danke dafür. Martina, also ich finde dich genau richtig. Eine große Portion Humor, Leichtigkeit und einen witzigen Schreibstil.
    Frage: Wo bleibt den eigentlich meine bestelltes Popcorn für 2,50?

  20. Alexander Trisko

    Ich hab mir erlaubt, hier ein bisschen aufzuräumen. Benehmt euch.

  21. Zitat Aspiriere :

    Zitat Joe :

    Uff…also mein Zwerchfell wurde gestern gut trainiert. Ein heiterer Abend. Welche blödsinnigen Statistiken angeführt wurden, um sich selbst Recht zu geben und den anderen ins Unrecht zu setzen. Interessant auf was so manche Hirne alles zurückgreifen, um Beweise dafür anzuführen, das sie im Recht sind. Aspire (die Inspirierte) hat dabei den Volltreffer gelandet. Glückwunsch! Dir gehört der Pokal. Also, mehr geht nicht…wirklich.

    Martina! Popcorn groß 2,50€ – gibt es einen Lieferservice? Heute hätte ich Lust auf dein Popcorn.
    Fjuge, verlieb dich nicht, die Hübsche ist verheiratet.

    Wen du schon ein auf schlau machst dann richtig. Du hast meinen Namen erst einmal falsch geschrieben und dann noch die falsche Übersetzung. Mein Nickname ist „Aspiriere“ und bedeutet „die Hoffnung Bringende“

    Aber bei dir und macfee ist ja die Hoffnung auf ein Großhirn verloren gegangen.

    Zitat Fjuge :

    Martina ich find dich sympathisch :D

    Ich glaube nicht das die Bilder von Martina sind, brauchst also nicht geil werden :)

    Ach komm, Aspirin, stell doch ein Foto von dir rein, damit wir sehen können, ob Dein kleiner Eifersuchtsanfall berechtig ist.

  22. Zitat cr3wp :

    Zitat Alexander Trisko :

    Ich hab mir erlaubt, hier ein bisschen aufzuräumen. Benehmt euch.

    Danke, dass du soo gut aufgeräumt hast -.- Weil das mit dem Schreibstil völlig an den Haaren herbeigezogen war … mal im ernst, wer schreibt so wie Martina?
    (=> 20-Jährige mit besonderem Schulabschluss) [Hoffe das ist gewählter ausgedrückt]

    Also jetzt hast mich beeindruckt, ein Kommentar mit Inhalt und Tiefe. Jetzt wissen wir also, welchen Schulabschluss Martina hat. Oder entspringt das nur deiner Fantasie und dem Wunschdenken? Deine Suche und dein Wunsch bei den anderen ist groß, zu recht, da deine Kommentare nur so von Fachwissen und ausgewählter Wortwahl besteht.

  23. Alexander Trisko

    Höre ich Ironie? Ich kann gerne eine komplette Subsumtion darüber abliefern, warum derartige Äußerungen am StGB kratzen. Soll ich?

  24. Zitat Alexander Trisko :

    Höre ich Ironie? Ich kann gerne eine komplette Subsumption darüber abliefern, warum derartige Äußerungen am StGB kratzen. Soll ich?

    Bin neugierig :)