166162

Sicherheitslücke in Android entdeckt

27.10.2008 | 11:33 Uhr |

Das erste Android, nämlich das T-Mobile G1 von HTC, ist erst seit dem 22. Oktober auf dem Markt. Und schon hat ein Sicherheitsexperte die erste ernste Sicherheitslücke darin entdeckt.

Charlie Miller, Mark Daniel und Jake Honoroff von der Firma Independent Security Evaluators haben in Android eine Schwachstelle identifiziert, die Angreifer dazu ausnutzen können, um auf Android-Handys ihren eigenen Code einzuschleusen und auszuführen. Dazu müssen Sie den Handybesitzer auf eine speziell präparierte Website lotsen, wo der bösartige Code lauert. Allerdings können die Angreifer durch die Schwachstelle nicht das gesamte Android-Handy übernehmen, sondern erlangen "nur" die Kontrolle über den Browser. Im Android-Webbrowser kann der Angreifer dann nach Belieben seinen Code mit den Zugriffsrechen des Browsers ausführen. Damit erlangt der Hacker beispielsweise Zugang zu gespeicherten Cookies, der Browser-History, gespeicherten Formulardaten und Passwörtern. Der Browser selbst kann ebenfalls manipuliert werden.

Auf die anderen Anwendungen des G1-Handys und auf das Betriebssystem selbst bekommt man durch diesen Angriff aber keinen Zugriff. Angreifer können also nicht über das gekaperte G1-Handy telefonieren oder Nachrichten versenden. Grund dafür ist die Sicherheits-Architektur von Android, die jede Anwendung nur eingekapselt innerhalb eines bestimmten, abgeschlossenen Bereichs, einer Sandbox, ausführt.

Independent Security Evaluators zufolge entstand die Sicherheitslücke dadurch, dass Google nicht bei allen für Android verwendeten Software-Paketen die aktuellen Versionen genutzt hat. Android bezieht seine Software nämlich aus mehr als 80 unterschiedlichen Open-Source-Paketquellen. Die besagte Sicherheitslücke, von der das G1 nun betroffen ist, sei durchaus schon bekannt gewesen, Google habe aber eben zu einer veralterten Softwareversion gegriffen, obwohl eine bereits sichere Variante durchaus vorhanden war.

Independent Security Evaluators hat nach eigenen Angaben Google am 20. Oktober über die Schwachstelle informiert. Ein Google-Sprecher bestätigte das Problem, bezeichnete es aber als weniger gravierend - eben wegen der Sandbox-Architektur. Google habe zudem bereits eine Software-Version entwickelt, in der diese Sicherheitslücke behoben sein soll. Jetzt arbeite man mit T-Mobile und HTC zusammen, um möglichst schnell Patches für die Kunden bereit zustellen.

Android-Phone T-Mobile G1 ausverkauft

Ratgeber: Alle Details zu Google Android (mit Live-Stream

Video vom Google Phone T-Mobile G1

0 Kommentare zu diesem Artikel
166162