Pileup: Android-Update gibt unkontrolliert Rechte frei
Beschrieben wird die Schwachstelle in einem gemeinsamen Forschungspapier von Sicherheits-Experten von der Indiana University und dem Software-Konzern Microsoft. Die neue Schädlingsklasse, die durch die Schwachstelle ermöglicht wird, nennen diese "Pileup" (Privilege Escalation through updating).
Betroffen von dem Problem sind im Grunde alle Android-Geräte, die sich im Umlauf befinden. Die Sicherheits-Forscher haben bisher sechs Varianten gefunden, über die eine Pileup-Attacke gefahren werden kann. Diese verbergen sich im Package Management Service (PMS), der in allen Varianten des Android Open Source Project (AOSP) sowie in den rund 3.500 angepassten Android-Varianten der Handyhersteller und Mobilfunkanbieter zu finden ist.
Ein Pileup-Angriff kann so ablaufen, dass ein Angreifer eine App verbreitet, die Rechte einfordert, die es auf einer bestimmten Android-Version noch gar nicht gibt. Bei der Installation wird der Nutzer entsprechend auch nicht gefragt, ob er dieser Anwendung die fraglichen Zugriffe ermöglichen möchte. Kommt nun allerdings ein Update des Betriebssystems, dass diese Features enthält, werden der App die jeweiligen Rechte automatisch gegeben, ohne, dass der Anwender noch einmal gefragt wird. Ohne Wissen des Handy-Besitzers, kann ein Programm so nun auf tiefgreifende Systemfunktionen zugreifen.
Die Sicherheits-Forscher sehen die Ursache des Problems in der Komplexität des Update-Mechanismus von Android. Bei einer Aktualisierung des Betriebssystems werden jeweils tausende Dateien ausgetauscht oder neu hinzugefügt. Dabei müssen die Bereiche der Apps auf dem System genau voneinander abgegrenzt werden, damit es nicht zur Beschädigung von Anwendungen oder Datenverlusten kommt. Der komplizierte Prozess hat hier letztlich wohl dazu beigetragen, dass der Fehler entstand.
Im Rahmen ihrer Forschungen zu der Sache haben die Sicherheits-Experten auch einen Scanner entwickelt. "SecUP" soll durch eine Analyse installierter Apps jene Anwendungen finden, die nur darauf warten, dass enthaltene Zugriffe, die aktuell noch ins Leere laufen, bei einem kommenden Update einen Ansatzpunkt erhalten.
Betroffen von dem Problem sind im Grunde alle Android-Geräte, die sich im Umlauf befinden. Die Sicherheits-Forscher haben bisher sechs Varianten gefunden, über die eine Pileup-Attacke gefahren werden kann. Diese verbergen sich im Package Management Service (PMS), der in allen Varianten des Android Open Source Project (AOSP) sowie in den rund 3.500 angepassten Android-Varianten der Handyhersteller und Mobilfunkanbieter zu finden ist.
Ein Pileup-Angriff kann so ablaufen, dass ein Angreifer eine App verbreitet, die Rechte einfordert, die es auf einer bestimmten Android-Version noch gar nicht gibt. Bei der Installation wird der Nutzer entsprechend auch nicht gefragt, ob er dieser Anwendung die fraglichen Zugriffe ermöglichen möchte. Kommt nun allerdings ein Update des Betriebssystems, dass diese Features enthält, werden der App die jeweiligen Rechte automatisch gegeben, ohne, dass der Anwender noch einmal gefragt wird. Ohne Wissen des Handy-Besitzers, kann ein Programm so nun auf tiefgreifende Systemfunktionen zugreifen.
Die Sicherheits-Forscher sehen die Ursache des Problems in der Komplexität des Update-Mechanismus von Android. Bei einer Aktualisierung des Betriebssystems werden jeweils tausende Dateien ausgetauscht oder neu hinzugefügt. Dabei müssen die Bereiche der Apps auf dem System genau voneinander abgegrenzt werden, damit es nicht zur Beschädigung von Anwendungen oder Datenverlusten kommt. Der komplizierte Prozess hat hier letztlich wohl dazu beigetragen, dass der Fehler entstand.
Im Rahmen ihrer Forschungen zu der Sache haben die Sicherheits-Experten auch einen Scanner entwickelt. "SecUP" soll durch eine Analyse installierter Apps jene Anwendungen finden, die nur darauf warten, dass enthaltene Zugriffe, die aktuell noch ins Leere laufen, bei einem kommenden Update einen Ansatzpunkt erhalten.
Mehr zum Thema: Android
Kommentar abgeben
Netiquette beachten!
Beliebt im Preisvergleich
- cat umtsover:
Neue Android-Bilder
Android-Videos
-
Dangbei Mars Pro: Kompakter Beamer kommt leicht zum Play Store
-
Galaxy A54 & Galaxy A34: Samsungs neue Mittelklasse im Hands-on
-
Honor Magic 5 Pro: Erste Eindrücke zum neuen Top-Smartphone
-
Übertrifft die 8 Zoll große Konkurrenz: Das Lenovo Tab M9 im Test
-
Lenovo Tab M8 Gen 4 im Test: Günstiges Tablet mit klaren Schwächen
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 06:45 Uhr 
Full HD Bluetooth Projektor mit eingebautem DVD Player, 7500LM 1080P unterstützt, tragbarer Mini DVD Projektor für Filme im Freien, 250-Zoll Heimkino, kompatibel mit iOS/Android/TV-Stick/PS4/HDMI/USB
Full HD Bluetooth Projektor mit eingebautem DVD Player, 7500LM 1080P unterstützt, tragbarer Mini DVD Projektor für Filme im Freien, 250-Zoll Heimkino, kompatibel mit iOS/Android/TV-Stick/PS4/HDMI/USB Original Amazon-Preis
169,98 €
Blitzangebot-Preis
128,97 €
Ersparnis zu Amazon 24% oder 41,01 €
Neue Nachrichten
- Von wegen still: Pflanzen kommunizieren Stress mit Akustik-Signalen
- Samsung Galaxy S23: Kamera-Update mit neuen Funktionen
- Ausverkauf zu Ostern: Media Markt zeigt sich jetzt mit Bestpreisen
- New York Times uvm. zeigen Elon Musk und Twitter Blue den Finger
- PS5: PlayStation VR2 Headset für PlayStation 5 verkauft sich schlecht
- Nach vielen Jahren an Gerüchten - Star Trek: Starfleet Academy kommt
- Paketmanager npm wird massiv mit SEO-Spam-Paketen geflutet
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen