Android: Sicherheitslücke macht den KeyStore angreifbar

Schon seit einiger Zeit steckt im KeyStore des Mobile-Betriebssystems Android eine Sicherheitslücke. Diese ist in der neuesten Version 4.4 behoben, da die Entdecker ihre Informationen schon vor einiger Zeit an Google übergaben. Die vorherigen Fassungen sind allerdings noch unsicher. Bereits vor neun Monaten fanden Sicherheits-Experten von IBM Security Systems das Problem. Anfang September des letzten Jahres wurde Googles Team, das für die Sicherheit von Android zuständig ist, in Kenntnis gesetzt. Zwei Monate später konnten diese dann den ersten Patch bereitstellen, der allerdings bisher nur in Android 4.4 eingeflossen ist.

Durch die Schwachstelle wird es möglich, die von Android gespeicherten Schlüssel aus einem Smartphone oder Tablet auszulesen. Dies kann beispielsweise geschehen, indem Anwendern eine entsprechend manipulierte App untergeschoben wird. Auch die Master-Keys des jeweiligen Gerätes können so in die Hände von unbefugten gelangen, hieß es. Prinzipiell sei es möglich, die entsprechenden Informationen nicht nur aus dem Arbeitsspeicher, sondern auch vom Flash-Memory eines ausgeschalteten Gerätes zu extrahieren.
Infografik: Android Fragmentierung 2013

Wegen Fragmentierung lang gewartet

Die Sicherheitsforscher erklärten, dass sie extra damit gewartet haben, den Fall an die Öffentlichkeit zu bringen, da die Fragmentierung des Android-Marktes das schnelle Ausrollen von Patches relativ schwer macht. Doch nun haben sie sich zu einer dokumentierten Veröffentlichung entschieden.

Das fortbestehen der Sicherheitslücke ist insofern problematisch, als noch immer zahlreiche Nutzer von dem Problem betroffen sind. Immerhin läuft erst ein kleiner Teil der sich im Einsatz befindlichen Android-Geräte mit der Version 4.4. Rund 80 Prozent sind hingegen noch mit einer älteren Fassung des Betriebssystems ausgestattet. Aktuell ist noch nicht bekannt, ob es in der nächsten Zeit für diese auch tatsächlich die passenden Sicherheits-Updates geben wird.