Google hat aktuelle Android-Lücke bereits geschlossen

9. Juli 2013, 11:31
24 Postings

Fix seit Februar im Source Code, aber nur bei wenigen Geräte ausgeliefert - CyanogenMod folgt nun

Vor wenigen Tagen sorgte ein Bericht des Sicherheitsdienstleisters Bluebox Labs für einiges Aufsehen in der Android-Welt: Über eine aktuelle Sicherheitslücke lässt sich die digitale Signierung von Android-Paketen (APKs) austricksen, wodurch für das System authentisch wirkende aber mit Schadcode versehene Versionen einer App erstellt werden können.

Szenarien

Gelingt es die NutzerInnen zur Installation eines solcherart gefälschten Updates zu bringen, könnte eine Trojaner die vollen Berechtigungen der betreffenden Apps nutzen. Handelt es sich dabei um eine der diversen System-Apps der Dritthersteller, ließen sich umfassende Modifikationen am Smartphone oder Tablet vornehmen, so die Befürchtung. Besonders unerfreulich daran: Laut Bluebox Labs sind praktisch alle aktuell im Umlauf befindlichen Geräte von dieser Lücke betroffen.

Reaktion

Google wurde über das Problem bereits im Februar informiert, wie sich nun zeigt, hat das Unternehmen den Fehler auch umgehend in der Codebasis von Android bereinigt. Dies erklärt, warum aktuelle Geräte wie das Galaxy S4, aber auch das HTC One nach dem Update auf Android 4.2.2 nicht von der Lücke betroffen sind. Auch andere OEMs seien mit dem Fix bereits beliefert worden, betont der Android-Hersteller. Allerdings hat auch Google selbst seit diesem Zeitpunkt kein Update mehr ausgeliefert, so dass die Lücke sogar in den Nexus-Geräten derzeit noch offen bleibt.

Reale Gefährdung?

Google streicht heraus, dass es keinerlei Hinweise darauf gibt, dass die Lücke aktiv für Angriffe genutzt wird. Zudem muss betont werden, dass das Problem nur dann schlagend werden kann, wenn sich die NutzerInnen Apps aus Drittquellen besorgen können, wer Updates nur aus dem Play Store bezieht sollte nicht gefährdet sein.

Update?

Trotzdem wäre es natürlich wünschenswert, wenn die Lücke so schnell wie möglich beseitigt würde. Während dies bei den Nexus-Geräten nur eine Frage von Tagen oder Wochen sein dürfte - hier zeichnet sich ein baldiges Update auf Android 4.3 ab - wird dies im weiteren Android-Ökosystem schon wesentlich schwieriger. Sind die anderen Hersteller doch üblicherweise wesentlich weniger updatefreudig. Von jenen Geräten, die gar keine Updates mehr erhalten, ganz abgesehen. Beim Community-Projekt CyanogenMod wurde die Fehlerbereinigung vor kurzem bereits in die Codebasis eingepflegt. (apo, derStandard.at, 09.07.13)

  • Artikelbild
    foto: andreas proschofsky / derstandard.at
Share if you care.