Sicherheitslücke in Chrome für Android ermöglicht Installation von Malware

SicherheitSicherheitsmanagement
Google Chrome (Bild: Google)

Die Schwachstelle befindet sich in der JavaScript-Engine V8. Ohne Interaktion mit einem Nutzer kann eine speziell gestaltete Website die vollständige Kontrolle über ein Android-Gerät übernehmen. Betroffen sind offenbar sämtliche Android-Varianten, auf welchen die neueste Chrome-Version ausgeführt wird.

Der chinesische Sicherheitsexperte Guang Gong, Mitarbeiter von Quihoo 360, hat auf der Sicherheitskonferenz PacSec in Tokio eine Zero-Day-Lücke in Chrome für Android vorgestellt. Seinen Angaben zufolge betrifft sie sämtliche Android-Versionen, auf denen die neueste Chrome-Version ausgeführt wird. Ausnutzen lässt sich die Schwachstelle mithilfe präparierter Websites. Über sie ist es laut The Register so möglich, Schadsoftware zu installieren.

Google Chrome (Bild: Google)

Gong zeigte die Schwachstelle auf einem aktuellen Google Nexus 6. Es handele sich dabei nicht, wie sonst oft üblich, um eine Verkettung mehrerer Lücken. “Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden”, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Schwachstelle präsentierte.

“Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert”, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei mutmaßlich jedes Android-Gerät verwundbar.

Der Fehler wurde laut dem Bericht noch vor Ort von einem Google-Sicherheitsingenieur geprüft. Ruiu geht davon aus, dass Google eine Prämie an Gong zahlt, da der Einzelheiten zu der Anfälligkeit zurückgehalten hat.

Zwei deutsche Sicherheitsexperten demonstrierten während des Wettbewerbs zudem, dass gewisse mehrere Smartphone-MOdell von Samsung mittels einer manipulierten Basisstation abgehört werden können. Die Lücke befindet sich offenbar in der Firmware des von Samsung entwickelten Baseband-Chips. Die beiden Deutschen werden ebenso wie Gong, zur Sicherheitskonferenz CanSecWest, die im März in Kanada stattfindet, eingeladen.

Der Wettbewerb wurde in den vergangenen Jahren von der ehemaligen HP-Tochter Tipping Point sowie der HP Zero Day Initiative gesponsert. Abzuwarten bleibt, ob Trend Micro, das Tipping Point samt Zero Day Initiative vor Kurzem für 300 Millionen Dollar übernommen hat, weiterhin als Sponsor auftreten wird.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen