Pileup: Android-Update gibt unkontrolliert Rechte frei

Google, Android, Malware, Virus, Schadsoftware Bildquelle: Google
Eine neu entdeckte Sicherheitslücke in Googles Mobile-Betriebssystem Android ermöglicht es, dass ein Angreifer über eine App unbemerkt weitgehende Rechte erhält - wenn er etwas Geduld mitbringt.
Beschrieben wird die Schwachstelle in einem gemeinsamen Forschungspapier von Sicherheits-Experten von der Indiana University und dem Software-Konzern Microsoft. Die neue Schädlingsklasse, die durch die Schwachstelle ermöglicht wird, nennen diese "Pileup" (Privilege Escalation through updating).

Betroffen von dem Problem sind im Grunde alle Android-Geräte, die sich im Umlauf befinden. Die Sicherheits-Forscher haben bisher sechs Varianten gefunden, über die eine Pileup-Attacke gefahren werden kann. Diese verbergen sich im Package Management Service (PMS), der in allen Varianten des Android Open Source Project (AOSP) sowie in den rund 3.500 angepassten Android-Varianten der Handyhersteller und Mobilfunkanbieter zu finden ist.

Ein Pileup-Angriff kann so ablaufen, dass ein Angreifer eine App verbreitet, die Rechte einfordert, die es auf einer bestimmten Android-Version noch gar nicht gibt. Bei der Installation wird der Nutzer entsprechend auch nicht gefragt, ob er dieser Anwendung die fraglichen Zugriffe ermöglichen möchte. Kommt nun allerdings ein Update des Betriebssystems, dass diese Features enthält, werden der App die jeweiligen Rechte automatisch gegeben, ohne, dass der Anwender noch einmal gefragt wird. Ohne Wissen des Handy-Besitzers, kann ein Programm so nun auf tiefgreifende Systemfunktionen zugreifen.

Die Sicherheits-Forscher sehen die Ursache des Problems in der Komplexität des Update-Mechanismus von Android. Bei einer Aktualisierung des Betriebssystems werden jeweils tausende Dateien ausgetauscht oder neu hinzugefügt. Dabei müssen die Bereiche der Apps auf dem System genau voneinander abgegrenzt werden, damit es nicht zur Beschädigung von Anwendungen oder Datenverlusten kommt. Der komplizierte Prozess hat hier letztlich wohl dazu beigetragen, dass der Fehler entstand.

Im Rahmen ihrer Forschungen zu der Sache haben die Sicherheits-Experten auch einen Scanner entwickelt. "SecUP" soll durch eine Analyse installierter Apps jene Anwendungen finden, die nur darauf warten, dass enthaltene Zugriffe, die aktuell noch ins Leere laufen, bei einem kommenden Update einen Ansatzpunkt erhalten. Android, Sicherheit, Security, schloss Android, Sicherheit, Security, schloss Google
Mehr zum Thema: Android
Diese Nachricht empfehlen
Kommentieren22
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Vera F. Birkenbihl - Führungskräfteseminar
Vera F. Birkenbihl - Führungskräfteseminar
Original Amazon-Preis
69,98
Im Preisvergleich ab
61,99
Blitzangebot-Preis
35,00
Ersparnis zu Amazon 50% oder 34,98

Tipp einsenden