Pileup: Android-Update gibt unkontrolliert Rechte frei
Eine neu entdeckte Sicherheitslücke in Googles Mobile-Betriebssystem Android ermöglicht es, dass ein Angreifer über eine App unbemerkt weitgehende Rechte erhält - wenn er etwas Geduld mitbringt.
Beschrieben wird die Schwachstelle in einem gemeinsamen Forschungspapier von Sicherheits-Experten von der Indiana University und dem Software-Konzern Microsoft. Die neue Schädlingsklasse, die durch die Schwachstelle ermöglicht wird, nennen diese "Pileup" (Privilege Escalation through updating).
Betroffen von dem Problem sind im Grunde alle Android-Geräte, die sich im Umlauf befinden. Die Sicherheits-Forscher haben bisher sechs Varianten gefunden, über die eine Pileup-Attacke gefahren werden kann. Diese verbergen sich im Package Management Service (PMS), der in allen Varianten des Android Open Source Project (AOSP) sowie in den rund 3.500 angepassten Android-Varianten der Handyhersteller und Mobilfunkanbieter zu finden ist.
Ein Pileup-Angriff kann so ablaufen, dass ein Angreifer eine App verbreitet, die Rechte einfordert, die es auf einer bestimmten Android-Version noch gar nicht gibt. Bei der Installation wird der Nutzer entsprechend auch nicht gefragt, ob er dieser Anwendung die fraglichen Zugriffe ermöglichen möchte. Kommt nun allerdings ein Update des Betriebssystems, dass diese Features enthält, werden der App die jeweiligen Rechte automatisch gegeben, ohne, dass der Anwender noch einmal gefragt wird. Ohne Wissen des Handy-Besitzers, kann ein Programm so nun auf tiefgreifende Systemfunktionen zugreifen.
Die Sicherheits-Forscher sehen die Ursache des Problems in der Komplexität des Update-Mechanismus von Android. Bei einer Aktualisierung des Betriebssystems werden jeweils tausende Dateien ausgetauscht oder neu hinzugefügt. Dabei müssen die Bereiche der Apps auf dem System genau voneinander abgegrenzt werden, damit es nicht zur Beschädigung von Anwendungen oder Datenverlusten kommt. Der komplizierte Prozess hat hier letztlich wohl dazu beigetragen, dass der Fehler entstand.
Im Rahmen ihrer Forschungen zu der Sache haben die Sicherheits-Experten auch einen Scanner entwickelt. "SecUP" soll durch eine Analyse installierter Apps jene Anwendungen finden, die nur darauf warten, dass enthaltene Zugriffe, die aktuell noch ins Leere laufen, bei einem kommenden Update einen Ansatzpunkt erhalten.
Betroffen von dem Problem sind im Grunde alle Android-Geräte, die sich im Umlauf befinden. Die Sicherheits-Forscher haben bisher sechs Varianten gefunden, über die eine Pileup-Attacke gefahren werden kann. Diese verbergen sich im Package Management Service (PMS), der in allen Varianten des Android Open Source Project (AOSP) sowie in den rund 3.500 angepassten Android-Varianten der Handyhersteller und Mobilfunkanbieter zu finden ist.
Ein Pileup-Angriff kann so ablaufen, dass ein Angreifer eine App verbreitet, die Rechte einfordert, die es auf einer bestimmten Android-Version noch gar nicht gibt. Bei der Installation wird der Nutzer entsprechend auch nicht gefragt, ob er dieser Anwendung die fraglichen Zugriffe ermöglichen möchte. Kommt nun allerdings ein Update des Betriebssystems, dass diese Features enthält, werden der App die jeweiligen Rechte automatisch gegeben, ohne, dass der Anwender noch einmal gefragt wird. Ohne Wissen des Handy-Besitzers, kann ein Programm so nun auf tiefgreifende Systemfunktionen zugreifen.
Die Sicherheits-Forscher sehen die Ursache des Problems in der Komplexität des Update-Mechanismus von Android. Bei einer Aktualisierung des Betriebssystems werden jeweils tausende Dateien ausgetauscht oder neu hinzugefügt. Dabei müssen die Bereiche der Apps auf dem System genau voneinander abgegrenzt werden, damit es nicht zur Beschädigung von Anwendungen oder Datenverlusten kommt. Der komplizierte Prozess hat hier letztlich wohl dazu beigetragen, dass der Fehler entstand.
Im Rahmen ihrer Forschungen zu der Sache haben die Sicherheits-Experten auch einen Scanner entwickelt. "SecUP" soll durch eine Analyse installierter Apps jene Anwendungen finden, die nur darauf warten, dass enthaltene Zugriffe, die aktuell noch ins Leere laufen, bei einem kommenden Update einen Ansatzpunkt erhalten.
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
Pixel 10a: Reicht das Einsteigermodell oder doch besser Premium?
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
-
MagicPad 4: Honors Versuch zum Tablet-Gipfelsturm im Test
-
Erstaunliche Vielfalt: Die besten Tablets für unter 300 Euro
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktion endet heute: Nur 25 Euro für Unlimited-Tarif im Telekom-Netz
- Meta bestätigt: 20.000 Instagram-Konten durch KI-Panne gestohlen
- Nur bis Mitternacht: 12 tolle MwSt.-Angebote bei Media Markt & Saturn
- WWDC 2026: Die große Apple-Keynote ab 19 Uhr bei uns im Livestream
- Flight Simulator: Riesiges Gratis-Update und Goodyear-Zeppelin
- Limitierte Xbox Series X25: Microsoft enthüllt grüne Nostalgie-Konsole
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen