Gerätesperre wird durch Fehler in Android 4.3 unwirksam

Forscher des deutschen Sicherheitsanbieters Curesec haben in Android 4.3 eine Schwachstelle entdeckt, die die Gerätesperre unwirksam macht. Laut Threatpost können präparierte Apps benutzt werden, um Sperren zu deaktivieren. Inzwischen hat Curesec eine Beispiel-App sowie deren Quellcode veröffentlicht.

“Die Anfälligkeit erlaubt es jeder bösartigen App zu jeder Zeit, alle von einem Nutzer aktivierten Sperren zu entfernen”, heißt es im Curesec-Blog. “Curesec hat die Schwachstelle an das Google Android Security Team gemeldet, das nicht auf dieses Problem reagiert hat.”

Curesec informierte Google über die Sicherheitslücke nach eigenen Angaben am 11. Oktober, und habe am darauffolgenden Tag eine E-Mail bekommen, die den Erhalt der Medlung bestätigte. Auf drei weitere Nachfragen habe man dann allerdings keine Antwort mehr erhalten.

Der Fehler steckt in der Funktion, mit der Nutzer unterschiedliche Mechanismen wie PIN, Passwort, Gesichtserkennung oder Gesten für die Gerätesperre festlegen können. “Bevor ein Nutzer diese Einstellungen ändern kann, fragt das Gerät nach einer Bestätigung. Wenn ein Nutzer die PIN ändern oder entfernen möchte, muss er zuerst die vorhandene PIN eingeben.” Durch den Fehler sei es einer App möglich, diese Abfrage zu unterbinden und eine Änderung wie das Deaktivieren der Gerätesperre unbemerkt vorzunehmen.

Ein Google-Sprecher sagte gegenüber Threatpost, dass das Problem in Android 4.4 KitKat behoben sei. Zu einem Update für den Vorgänger 4.3 Jelly Bean machte er jedoch keine Angaben. Sollte Google einen Patch für Jelly Bean bereitstellen, ist allerdings nicht gewährleistet, dass alle Geräte den Fix auch erhalten, da die Geräterhersteller und nicht Google für die Verteilung von Aktualisierungen verantwortlich sind.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.