Schwachstelle in WiFi Direct ermöglicht DoS-Angriffe unter Android
Das US-Sicherheitsunternehmen Core Security hat eine Sicherheitslücke in Googles Mobilbetriebssystem Android gefunden. Der Fehler befindet sich laut einem Advisory in der Implementierung von WiFi Direct, einer WLAN-Technologie, die einen direkten Datenaustausch zwischen zwei Endgeräten wie Smartphones, Kameras und Druckern ermöglicht. Ein Angreifer könnte mithilfe eines speziell gestalteten Probe Response Frame – einem von einem Access Point gesendeten Datenrahmen, der auf eine Anfrage einer anderen Station hin Informationen wie unter anderem unterstützte Datenraten sendet – einen Absturz des Dalvik-Subsystems und somit einen Neustart des Geräts verursachen.
Nach Angaben des Security-Unternehmens steckt der Bug in Android 4.1.2, 4.2.2 und 4.4.4. Herausgefunden wurde dies durch Tests mit unter anderem dem Nexus 4 und Nexus 5 von Google sowie dem D806 von LG, dem SM-T310 von Samsung und Motorolas Razr HD. Andere Geräte seien wahrscheinlich ebenso betroffen, so Core Security weiter. In Android 5.0.1 und 5.0.2 hat Google das Problem allerdings bereits behoben.
Google wurde laut dem Advisory schon im September über die Schwachstelle informiert. Im Anschluss bekräftigte das Android-Security-Team mehrmals – zuletzt am 20. Januar – dass es keinen Zeitplan für die Entwicklung eines Patches gebe, da Google das von der Sicherheitslücke ausgehende Risiko als gering einstufe. Daraufhin ging Core Security – wie zuvor gegenüber Google angekündigt – mit entsprechenden Einzelheiten sowie einem Beispielcode für einen Exploit an die Öffentlichkeit.
Im Gespräch mit Threatpost bestätigte Jon Oberheide, Gründer des Sicherheitsunternehmens Duo Security, dass sich der Fehler tatsächlich nur unter bestimmten Bedingungen ausnutzen lässt. Ein anfälliges Smartphone oder Tablet müsse just im Moment des Angriffs aktiv nach einem anderen WiFi-Direct-Gerät suchen. Um die manipulierten Daten senden zu können, müsse sich der Angreifer zudem in unmittelbarer Nähe seines Opfers aufhalten. Einzige Konsequenz sei ein Neustart.
Google hatte am Wochenende bekräftigt, dass es keine Sicherheitsupdates mehr für die Browserkomponente WebView unter Android 4.3 und früher entwickelt. Da WebView nicht nur im namenlosen Android-Browser steckt, sondern gleichermaßen von allen anderen Apps verwendet wird, die nicht über eine eigene Browsertechnik verfügen, ist folglich fast jede Internetnutzung auf betroffenen Geräten mit einem Sicherheitsrisiko verbunden. Googles eigener Statistik zufolge läuft Android 4.3 und früher derzeit auf knapp 60 Prozent aller Geräte, die auf Googles Play Store zugreifen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de