Erneut schwere Sicherheitslücke in Android

Derzeit überschlagen sich die Meldungen zu gefährlichen Sicherheitslöchern in Android: So warnen jetzt Sicherheitsforscher von IBM X-Force vor einer neuen schweren Lücke, die mehr als jedes zweite Android-Smartphone betreffen soll. Nach Aussage von Or Peles und Roee Hay von IBM können Angreifer eine App erstellen, die zunächst keine besonderen Zugriffsrechte vom Anwender einfordert.

Dadurch scheint die Anwendung harmlos zu sein. In Wahrheit kann sie sich durch eine Lücke im Zertifikatssystem von Android heimlich erweiterte Rechte verschaffen und so zu einer Art "Super-App" werden. Anschliessend kann sie den Android-Kernel manipulieren, andere Anwendungen auf dem Smartphone ersetzen und Shell-Befehle ausführen, um Daten zu klauen.

In einem Video demonstrieren die Sicherheitsforscher, wie es ihnen gelungen ist, die Facebook-App auszutauschen:

Die Lücke wurde in "OpenSSLX509Certificate" gefunden und soll in CVE-2015-3825 beschrieben werden. Weitere Details wollen Or Peles und Roee Hay auf der Usenix Woot Conference 2015 in Washington verraten.

Google hat bereits reagiert und Patches für Android 5.1 und 5.0, Android 4.4 sowie Android M veröffentlicht. Wie und wann diese Patches aber die Mehrzahl der Android-Nutzer erreichen, ist noch unklar. Mehr als 55 Prozent aller Smartphones sollen betroffen sein. Erst vor kurzem wurden andere schwere Sicherheitslücken wie Certifi-gate und Stagefright in Android gefunden.

Indessen gibt es gewaltige Umbaumassnahmen bei Google: Larry Page verlässt zusammen mit Mitbegründer Sergey Brin den Konzern die beiden gründen Alphabet - den künftigen Mutterkonzern von Google. Das steckt hinter Alphabet.