Alte Android-Lücke gefährdet Großteil aller Smartphones

24. Februar 2014, 14:40
61 Postings

Funktionierender Exploit im Umlauf - Bereits mit Android 4.2 geschlossen, mangelnde Updates erweisen sich als Problem

Die Update-Politik diverser Android-Hardwarehersteller steht immer wieder im Mittelpunkt der Kritik. Zwischen zu kurz und zu langsam bis zu gar keine Updates reicht hier die Palette. Dass es bei dieser Thematik keineswegs nur um das Verpassen neuer Funktionen geht, verdeutlicht nun ein aktuelles Beispiel.

Exploit

Seit kurzem ist ein aktueller Exploit für eine vor 14 Monaten erstmals aufgetauchte Sicherheitslücke in Android im Umlauf, wie Arstechnica berichtet. Als Modul für das Metasploit-Framework zu Verfügung stehend, kann darüber bei anfälligen Systemen beispielsweise die Kamera übernommen werden und auf das Dateisystem zugegriffen werden. Unter gewissen Voraussetzungen ist auch der Zugriff auf sensible Informationen wie den aktuellen Standort oder das Adressbuch möglich. Wie einfach solch ein Exploit ist, demonstriert Metasploit-Maintainer Rapid7 im Rahmen eines Blog-Eintrags.

Hintergrund

Die betreffende Lücke im Android WebView - jene Komponente, mit der Apps Web-Inhalte einbetten können - wurde eigentlich bereits mit Android 4.2 geschlossen. Das Problem: Der überwiegende Teil aller Smartphone-Nutzer ist bis dato mit einer älteren Androidversion unterwegs. Laut den aktuellsten Zahlen von Google nutzen gerade einmal 27 Prozent der Android-User eine Version zwischen 4.2 und dem aktuellen 4.4.

Umkehr

Es wäre also höchst an der Zeit, dass die diversen Hersteller ihre Updatepolitik hinterfragen. Immerhin würde es zur Beseitigung des Problems nicht notwendigerweise ein großes Plattform-Update benötigen, auch ein kleiner Bugfix für ältere Versionen würde hier ausreichen.

Ausblick

Dass es hier ein grundlegendes Problem gibt, ist natürlich auch Google bewusst, immerhin ist gerade der WebView angesichts der zahlreichen verfügbaren Informationen über Browser-Lücken ein lohnendes Ziel für Angreifer. Die Strategie des Androidherstellers für künftige Androidversionen zeichnet sich jedenfalls bereits ab: Mit Android 4.4 wird erstmals WebView auf Basis von Chrome mitgeliefert, künftig soll diese Komponente dann auch unabhängig von großen Softwareupdates über den Play Store aktualisiert werden, womit solche Probleme schnell auf sämtlichen Geräten bereinigt werden könnten. (apo, derStandard.at, 24.2.2014)

  • Ein Ausschnitt aus dem betreffenden Exploit-Modul für Metasploit.
    grafik: derstandard.at

    Ein Ausschnitt aus dem betreffenden Exploit-Modul für Metasploit.

Share if you care.