Nächstes Leck

IBM entdeckt schwere “Super-App-Lücke” in Android

(Bild: flickr.com/Family O'Abé)

Nach Certifi-Gate und Stagefright haben Sicherheitsexperten von IBM jetzt die nächste schwere Sicherheitslücke in Android entdeckt, durch die Cyberkriminelle Smartphones kapern und private Daten stehlen können. Laut IBM sind mehr als die Hälfte aller Android-Handys angreifbar. Betroffen sind die Betriebssystemversionen 4.3 bis 5.1. und Android M.

Die Lücke wurde innerhalb Androids OpenSSL-X.509-Zertfikatklasse gefunden, welche Entwickler beispielsweise nutzen, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren. Für den Angriff könnten Hacker eine scheinbare Spiele- oder Taschenlampen-App nutzen, die zunächst keine besonderen Zugriffsrechte vom Anwender fordere und dadurch harmlos erscheine.

Installiere ein Nutzer sie, verschaffe sich die Anwendung durch die Lücke im Zertifikatsystem heimlich erweiterte Rechte und werde so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliere anschließend den Android-Kernel, ersetze Anwendungen auf dem Smartphone und führe Shell-Befehle aus, um private Daten zu stehlen.

Sollten Hacker diesen Kommunikationskanal zwischen einer Anwendung und der Hardware erfolgreich angreifen, könnten sie die Geräte wie ihre Besitzer steuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden, warnte IBM in einem Blogeintrag. Auch vertrauliche Informationen, wie Zugangsdaten zum Online-Banking, könnten so leicht in die Hände von Cyberkriminellen geraten.

Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M wurden bereits veröffentlicht.