Android: Forscher finden Schwachstelle beim Update-Prozedere

MobileMobile OSSicherheitSicherheitsmanagement
Android Probleme (Bild: ZDNet.com)

Betroffen sind alle Versionen von Android. Das Problem ist, dass im Rahmen eines Updates des Betriebssystems Apps zusätzliche Rechte bekommen, ohne dass der Nutzer davon erfährt. Schädliche Apps können das ausnutzen.

In Zusammenarbeit mit Microsoft haben Forscher der Indiana University eine grundsätzliche Sicherheitslücke in Android entdeckt. Das von ihnen “Privilege Escalation through updating” (kurz: Pileup) genannte Vorgehen ist ihnen zufolge in allen Versionen von Googles Mobilbetriebssystem möglich. Es erlaubt Apps die unautorisierte Ausweitung von Nutzerrechten, sobald Android aktualisiert wird, ohne dass der Nutzer darüber informwiert wird. Das lässt sich von Malware trefflich ausnutzen.

Neue, Pileup genannte Lücke in Android entdeckt

“Alle paar Monate wird ein Update veröffentlicht, das tausende Dateien eines laufenden Systems austauscht oder hinzufügt. Jede neue App, die installiert wird, muss genau konfiguriert werden, um ihre Attribute in der eigenen Sandbox und ihre Systemrechte festzulegen, ohne dass versehentlich vorhandene Apps und die von ihnen gespeicherten Nutzerdaten beschädigt werden. Das macht die Programmlogik für die Installation solcher mobiler Updates kompliziert und damit anfällig für Sicherheitsfehler”, schreiben die Forscher.

Ihnen zufolge kann durch eine App, die auf einer älteren Android-Version läuft, ein Hacker auch ausgewählte Rechte oder Attribute sichern, die allerdings nur unter einer höheren Android-Version zur Verfügung stehen. Wird das Betriebssystem auf die höhere Version aktualisiert, bekommt die App diese Berechtigungen automatisch im Hintergrund. Der Nutzer wird darüber nicht informiert.

Die von den Forschern gefundenen sechs Pileup-Anfälligkeiten stecken alle im Android Package Management Service (PMS). Sie sind auch in allen Versionen des Android Open Source Project (AOSP) sowie in mehr als 3500 von Handyherstellern und Mobilfunkanbietern speziell angepassten Android-Versionen enthalten.

Gleichzeitig mit dem Hinweis auf die Schwachstelle haben die Forscher auch einen SecUP genannten Scanner vorgestellt, der Apps finden soll, die sich bereits auf einem Gerät befinden und auf ein Update warten, um ihre Rechte auszuweiten. Der Scanner prüft dazu den Quellcode des Package Management System von unterschiedlichen Android-Versionen. Eigenen Angaben zufolge haben die Forscher die Fehler bereits an Google gemeldet. Der Konzern habe eine der Lücken habe inzwischen gepatcht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen