Die Lücke wurde innerhalb Androids OpenSSL-X.509-Zertfikatklasse gefunden, welche Entwickler beispielsweise nutzen, um Apps Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren. Für den Angriff könnten Hacker eine scheinbare Spiele- oder Taschenlampen-App nutzen, die zunächst keine besonderen Zugriffsrechte vom Anwender fordere und dadurch harmlos erscheine.
Installiere ein Nutzer sie, verschaffe sich die Anwendung durch die Lücke im Zertifikatsystem heimlich erweiterte Rechte und werde so zu einer Super-App mit nahezu vollem Zugriff. Diese manipuliere anschließend den Android-Kernel, ersetze Anwendungen auf dem Smartphone und führe Shell-Befehle aus, um private Daten zu stehlen.
Sollten Hacker diesen Kommunikationskanal zwischen einer Anwendung und der Hardware erfolgreich angreifen, könnten sie die Geräte wie ihre Besitzer steuern und je nach App etwa Fotos abgreifen oder Nachrichten versenden, warnte IBM in einem Blogeintrag. Auch vertrauliche Informationen, wie Zugangsdaten zum Online-Banking, könnten so leicht in die Hände von Cyberkriminellen geraten.
Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M wurden bereits veröffentlicht.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.