Gravierende Sicherheitslücke beim Android-Update

Eine neue Art vonSicherheitslücke wurde in dem Update-Prozess des Android-Systems gefunden, die ausgenutzt werden kann, um sensible Daten zu stehlen, Sicherheitskonfigurationen zu ändern und sogar Installation von kritischen Systemdiensten zu blockieren, laut einer gemeinsamen Forschung von der Indiana University und des Software-Konzerns Microsoft.

Die sogenannten Pileup-Angriffsmöglichkeiten, die innerhalb des Android Package Management Service (PMS) versteckt sind, erlauben es einer Schad-App, eine Reihe von System- und Signaturberechtigungen anzulegen, die in einer niedrigeren Version des OS vorerst nicht vorhanden sind und schädliche Aktionen durchzuführen, sobald eine Aktualisierung abgeschlossen ist.

Zum Beispiel kann die App eine neue Erlaubnis definieren, wie die Erlaubnis ADD_VOICEMAIL auf Android 2.3.6, die in der Android-Version 4.0.4 enthalten sein wird, sobald die neue Version heruntergeladen ist. So erhält die App mit der neuen OS-Version Zugriff auf die Voice-Mail des Nutzers ohne dessen Einwilligung erfragen zu müssen. Weitere Berechtigungen können den Zugriff auf Benutzerdaten, Anruflisten oder SMS-Nachrichten ermöglichen.

"Wenn der Nutzer Android auf eine neuere Version, die die entsprechende Genehmigung eingebaut hat, aktualisiert, ist die bösartige Anwendung automatisch in der Lage, es zu nutzen, da es in der Vergangenheit Zugriff erhalten hat. Ironischerweise haben wir seit Jahren beklagt, dass Android-Updates es nicht schnell genug in den Markt schaffen, jetzt erhalten wir Updates, die schlafende Malware aktivieren", sagt Bogdan Botezatu, Senoir E- Threat Analyst bei Bitdefender.

Die unerlaubte App kann auch Sicherheitsstufen verringern und sogar sich als legitime Apps oder Webseiten wie Google Kalender oder Onlinebanking-Seiten ausgeben. Es kann schädlichen Javascript-Code in die neue Browser einfügen, um Cookies oder Lesezeichen zu manipulieren, die auf bösartige Webseiten, die nach den Anmeldeinformationen des Benutzers fragen, führen.

Die Tests zeigen, dass Ausbeutungschancen über verschiedene Gerätehersteller, Carrier und Länder hinweg existieren. "Unsere Forschung zeigt, dass die Möglichkeit Schwachstellen auszunutzen in allen offiziellen Android-Versionen und allen 3.522 angepassten Quellcode-Versionen von Samsung, LG und HTC, die wir untersucht haben, existieren", sagt die Studie.

Die Forscher haben Google und die wichtigsten Android-Anbieter über ihre Erkenntnisse informiert.

rn