Gerätesperre betroffen:
Android 4.3 Sicherheitslücke
Das deutsche IT-Security-Unternehmen Curesec hat eine Sicherheitslücke in Android 4.3 Jelly Bean aufgedeckt. Über ein Einfallstor in Apps lässt sich die Gerätesperre umgehen - womit ein Unbefugter Zugriff auf das Gerät bekommen könnte.
Bereits im Oktober war die Firma erstmals an das Android Security Team herangetreten, um das Problem zu melden. Die ganze Historie zu dem sicherheitsrelevanten Zugriff von Drittanbieter-Apps auf das System ist im Blog des Unternehmens publiziert worden.
Curesec hat das Problem nun mit Hilfe einer selbsterstellten App demonstriert und den Quellcode veröffentlicht.
Im Proof of Concept zeigt Curesec, wie der Lockscreen umgangen werden kann. Das alles geschah erst, nachdem das Unternehmen Google über die Sicherheitslücke informiert hatte. Als auch auf Nachfrage keine Antwort vom Android-Team kam, entschied sich Curesec, öffentlich auf den Fehler hinzuweisen.
Das Android Security Team soll bisher noch immer nicht auf die Problematik reagiert haben. Das Problem liegt in der Auswahl der Freigabe (im OS unter "com.android.settings.ChooseLockGeneric class") begründet. Der Nutzer kann hierbei wählen, wie ein Lock auf dem Gerät ausgeschaltet wird, zum Beispiel durch Codeeingabe. Durch einen Fehler im Android-Betriebssystem kann nun eine speziell präparierte App einen neuen Code anfordern, um den Lockscreen neu einzurichten. Die Sicherheitslücke blockiert nun die Anfrage, die normalerweise an den Nutzer weitergegeben wird. So wird der neue Code eingerichtet, ohne dass der Smartphone-Nutzer davon erfährt.
Nutzer der neusten Android-Version 4.4. KitKat sollen von der Sicherheitslücke komplett verschont sein. Andere Nutzer müssen sich nun aber keine großen Sorgen machen. Um die Lücke ausnutzen zu können, müssten speziell infiltrierte Apps auf dem Android-Gerät installiert sein. Dass die Schwachstelle bereits ausgenutzt wird, ist jedoch noch nicht bekannt.
Curesec hat das Problem nun mit Hilfe einer selbsterstellten App demonstriert und den Quellcode veröffentlicht.
Im Proof of Concept zeigt Curesec, wie der Lockscreen umgangen werden kann. Das alles geschah erst, nachdem das Unternehmen Google über die Sicherheitslücke informiert hatte. Als auch auf Nachfrage keine Antwort vom Android-Team kam, entschied sich Curesec, öffentlich auf den Fehler hinzuweisen.
Das Android Security Team soll bisher noch immer nicht auf die Problematik reagiert haben. Das Problem liegt in der Auswahl der Freigabe (im OS unter "com.android.settings.ChooseLockGeneric class") begründet. Der Nutzer kann hierbei wählen, wie ein Lock auf dem Gerät ausgeschaltet wird, zum Beispiel durch Codeeingabe. Durch einen Fehler im Android-Betriebssystem kann nun eine speziell präparierte App einen neuen Code anfordern, um den Lockscreen neu einzurichten. Die Sicherheitslücke blockiert nun die Anfrage, die normalerweise an den Nutzer weitergegeben wird. So wird der neue Code eingerichtet, ohne dass der Smartphone-Nutzer davon erfährt.
Nutzer der neusten Android-Version 4.4. KitKat sollen von der Sicherheitslücke komplett verschont sein. Andere Nutzer müssen sich nun aber keine großen Sorgen machen. Um die Lücke ausnutzen zu können, müssten speziell infiltrierte Apps auf dem Android-Gerät installiert sein. Dass die Schwachstelle bereits ausgenutzt wird, ist jedoch noch nicht bekannt.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Flipper Zero lebt weiter: Firmwareentwicklung nun mit der Community
- FritzOS 8.25: Neue Nutzungsvereinbarung sorgt für Diskussionen
- Microsoft warnt ab sofort: Support für Windows 11 24H2 endet bald
- TinyRetroPad: Ex-Windows-Entwickler baut Notepad in nur 2,5 KB nach
- Protest gegen Sony: Spieler kündigen massenhaft ihr PS-Plus-Abo
- Aus wegen 10 Cent: Sonys geheime PlayStation Controller-Konsole
- Kamera-AirPods vor dem Aus: Apple legt KI-Kopfhörer auf Eis
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen