Neue kritische Android-Sicherheitslücke aufgetaucht

Erneut gerät Googles mobiles Betriebssystem Android aufgrund einer kritischen Sicherheitslücke in die Schlagzeilen: Nach dem sicherheitsrelevanten Stagefright-Exploit fanden die Sicherheitsexperten von Trend Micro eine schwere Lücke, die nahezu alle Android-Geräte betrifft und diese problemlos lahmlegen kann.

Seit jeher war Google Android nicht gerade für seine Sicherheit bekannt. Im Play Store fand und findet sich u.a. Adware, die die Kontaktliste unberechtigterweise ausspähen und so mehr Daten erhalten als den meisten Besitzern lieb sein dürfte. Doch in letzter Zeit häufen sich die schweren Softwarelücken, die Smartphones und Tablets komplett lahmlegen können. Kurz nach Stagefright folgt nun schon das nächste große Problem. Ausfindig gemacht hat diesen auf 99,7 Prozent der Geräte vorkommenden Fehler Trend Micro, die auf ihrem Unternehmensblog penibel erklären, wie Android-Anwendungen die Lücke ausnutzen können.

CVE-2015-3842-Android

Die Schwachstelle ist wiederum der Mediaserver, der auch bei Stagefright involviert war. Dort kann im Anschluss an einen Pufferüberlauf ohne Probleme Schadsoftware installiert und ausgeführt werden. Das pikante an der schädlichen Anwendung: Es sind keinerlei Berechtigungen und Zugriffsbedingungen notwendig, sodass der Nutzer kaum Verdacht schöpfen dürfte. Zwar durchsuchen Google-Bots rund um die Uhr den Play Store, jedoch ist es ohne Probleme möglich „saubere“ Apps einzustellen und im Nachhinein schädliche Elemente über das Internet nachzuladen.

Laut Google sei das Problem bereits bekannt und eine Lösung gefunden – in der neuesten Version des „Android Open Source Project“ (AOSP) ist die Lücke bereits behoben. Doch leider erhalten Nutzer die Updates nicht sofort. Erst müssen die Hersteller ihre Anpassungen treffen und dann entsprechend über ihre Update-Routinen ausrollen. Das dürfte zimindest bei den aktuellen High-End-Modellen einigermaßen fix von der Hand gehen. Samsung will beispielsweise in Zukunft besser mit Google zusammenarbeiten und so regelmäßig sicherheitsrelevante Software-Aktualisierungen zur Verfügung stellen. Problematisch wird die Geschichte allerdings bei älteren Geräten: Aus Kompatibilitäts- und Kostengründen verzichten die Hersteller oft auf weitere Updates und so werden diese Sicherheitslücken wohl nie geschlossen.

Hoffen wir also, dass Google bei seinem mobilen Betriebssystem Android zukünftig mehr Wert auf das Thema Sicherheit legt und womöglich auch selbst das Ruder in die Hand nimmt, um den Nutzern schnell und ohne (Hersteller-)Umwege wichtige Fehlerbehebungen zur Verfügung stellen zu können.

Quelle: Trend Micro (via Androidmag)

 Image „Android Firewall“ (adapted) by Uncalno Tekno (CC BY 2.0)

About Jonas Haller
Jonas Haller studiert zurzeit Leichtbau an der Technischen Universität in Chemnitz. Die technische Vorschädigung tut dem Interesse zum mobilen Zeitgeschehen und der Liebe zur Sprache jedoch keinen Abbruch. Durch den Techblog „HTC Inside“ ist er zum Bloggen gekommen. Zwischendurch war er auch für das „Android Magazin“ aktiv. Privat schreibt er auf jonas-haller.de über die Dinge, die das Leben bunter machen.