Alle großen Android-Bootloader bringen schlimme Schwachstellen mit
In den meisten Android-Smartphones verbergen sich Sicherheitslücken, die in der aktuellen Update-Infrastruktur nur schwer zügig zu beheben sind und wohl nur aufgrund ihrer schweren Auffindbarkeit noch nicht in größerem Umfang ausgenutzt werden.
Infografik: Sicherheit: Android und iOS im Vergleich
Auf die Schwachstellen wurden Sicherheitsforscher der University of California, Santa Barbara, aufmerksam, als sie die verschiedenen Bootloader von Android-Systemen einer genaueren Untersuchung unterzogen. Das ist für gewöhnlich nicht so einfach, da die Software-Komponenten in der Regel proprietär sind und auch verschiedene Ansatzpunkte zum Reverse Engineering vermissen lassen.
Die Informatiker von der Uni entwickelten daher ein Tool namens BootStomp, mit dem sie einen besseren Zugang zu den fraglichen Codes erhielten, berichtete BleepingComputer. Auf diesem Weg machten sie verschiedene Schwachstellen ausfindig, die in Android-Geräten zu finden sind, die aktuell eingesetzt werden. In sechs Fällen handelt es sich um neu entdeckte Lücken, ein siebenter Bug ist hingegen schon länger bekannt und wurde nie geschlossen.
In allen Bootloadern fanden sich letztlich Angriffspunkte, über die es Angreifer schaffen können, die Vertrauenskette während des Boot-Vorgangs zu torpedieren und ihren eigenen Code tief im System zur Ausführung zu bringen. Malware, die diesen Weg geht, hat letztlich im Grunde keine Widerstände mehr von den Security-Features zu befürchten, die das übergeordnete Betriebssystem dann mitbringe und irgendwann aktivieren will. Da die Schadcodes viel früher greifen, kann das Hochfahren von Schutzsystemen im Zweifelsfall komplett unterdrückt und das jeweilige Gerät vollständig übernommen werden.
Infografik: Sicherheit: Android und iOS im Vergleich
Auf die Schwachstellen wurden Sicherheitsforscher der University of California, Santa Barbara, aufmerksam, als sie die verschiedenen Bootloader von Android-Systemen einer genaueren Untersuchung unterzogen. Das ist für gewöhnlich nicht so einfach, da die Software-Komponenten in der Regel proprietär sind und auch verschiedene Ansatzpunkte zum Reverse Engineering vermissen lassen.
Die Informatiker von der Uni entwickelten daher ein Tool namens BootStomp, mit dem sie einen besseren Zugang zu den fraglichen Codes erhielten, berichtete BleepingComputer. Auf diesem Weg machten sie verschiedene Schwachstellen ausfindig, die in Android-Geräten zu finden sind, die aktuell eingesetzt werden. In sechs Fällen handelt es sich um neu entdeckte Lücken, ein siebenter Bug ist hingegen schon länger bekannt und wurde nie geschlossen.
Alle großen Hersteller dabei
Die Bootloader werden jeweils von den Herstellern der genutzten Chipsätze mitgeliefert und wurde von den Forschern aus verschiedenen Smartphones herausgezogen. Letztlich standen Codes von Qualcomm, Nvidia, MediaTek und Huawei/HiSilicon für die Untersuchung zur Verfügung.In allen Bootloadern fanden sich letztlich Angriffspunkte, über die es Angreifer schaffen können, die Vertrauenskette während des Boot-Vorgangs zu torpedieren und ihren eigenen Code tief im System zur Ausführung zu bringen. Malware, die diesen Weg geht, hat letztlich im Grunde keine Widerstände mehr von den Security-Features zu befürchten, die das übergeordnete Betriebssystem dann mitbringe und irgendwann aktivieren will. Da die Schadcodes viel früher greifen, kann das Hochfahren von Schutzsystemen im Zweifelsfall komplett unterdrückt und das jeweilige Gerät vollständig übernommen werden.
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Galaxy Z Fold 8 & Co: Samsung bestätigt Unpacked-Event für 22. Juli
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Schwer zu erkennen: Phishing-Kampagne nutzt Microsoft-Infrastruktur
- Pixel 11: So viel teurer werden die neuen Google-Smartphones
- LG-Monitor an PC angeschlossen, Windows zeigt sofort Werbung
- Forscher: Entstehung des Lebens muss anders gelaufen sein als gedacht
- Valve liefert offizielles Treiberpaket für Windows auf der Steam Machine
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen