Google schließt kritische Lücke im Android Market

Google hat eine Sicherheitslücke im Android Market beseitigt. Darüber war es möglich, dass ein Angreifer manipulierte Anwendung verteilt und anschließend die Kontrolle über das Gerät übernimmt, meldet der Sicherheitsexperte Jon Oberheide. Oberheide hatte die Sicherheitslücke im Februar entdeckt und Google gemeldet. Bereits vor einer Woche soll das Unternehmen aktiv geworden sein und das Problem beseitigt haben. Oberheide erklärte, dass es seit den Anfängen der Web-Version des Android Market möglich war, eine App mit beliebigen Rechten aus der Ferne auf ein Smartphone aufzuspielen. In seiner Rolle als Gründer von Duo Security erklärt er im Unternehmensblog, dass man das Opfer nur dazu verleiten musste, auf einen manipulierten Link zu klicken.

Die zu Grunde liegende Cross-Site-Scripting-Lücke soll sehr weit verbreitet sein, weshalb sich Oberheide wunderte, dass noch niemand vor ihm die Schwachstelle entdeckt hat. Sie ließ sich mit allen Android-Versionen ausnutzen, ganz egal um welches Endgerät es sich handelte. Die schadhafte App konnte ein Angreifer unbemerkt aufspielen, da Google in Android neuerdings ein Feature bietet, um Apps in der Web-Version des Markets am PC auszusuchen und direkt auf dem Smartphone zu installieren.

Google belohnte Oberheide für die Entdeckung der Sicherheitslücke mit 1.337 US-Dollar. Erst zu einem späteren Zeitpunkt hatte der Sicherheitsforscher vom Hacker-Wettbewerb Pwn2Own erfahren, auf dem er bis zu 15.000 US-Dollar hätte verdienen können.