Trend Micro findet zwei weitere ungepatchte Android-Lücken
Die Fehler finden sich in der systemseitigen SMS-App. Ein Leck verursacht einen Absturz der Anwendung, das andere erlaubt die Manipulation des Empfangsstatus einer SMS. Es existieren zwar Patches für beide Lücken, allerdings gibt es sie bislang nur innerhalb des Android Open Source Project.
Trend Micro hat erneut zwei ungepatchte Schwachstellen in Android gefunden. Sie finden sich in der standardmäßigen SMS-App von Googles Mobilbetriebssystem. Von der Lücke betroffen sind sämtliche Android-Versionen bis einschließlich 5.1.1. Der Sicherheitsanbieter verweist darauf, dass die negativen Auswirkungen bei einem reinen, nicht von OEMs angepassten Android größer sind, da dort für gewöhnlich die systemseitige SMS-App zum Einsatz kommt – und keine angepasste beziehungsweise alternative Messaging-App.
Die Schwachstellen mit der Kennung CVE-2015-3839 lassen sich mithilfe einer speziell gestalteten SMS-Nachricht ausnutzen. Hat diese einen nicht definierten Nachrichtenstatus, kann das gegebenenfalls den Absturz der SMS-App zur Folge haben. Trend Micro zufolge soll das aber keinerlei Auswirkungen auf Android und damit die Nutzbarkeit eines Geräts haben. Der Sicherheitsanbieter demonstriert die zugehörige Attacke in zwei Videos anhand von Android 4.4.4 sowie Android 5.1.1.
Der zweite Fehler (CVE-2015-3840) ermöglicht es, den Empfangsstatus von SMS- und MMS-Nachrichten zu manipulieren. Eine schädliche App könnte so den Status einer empfangenen Nachricht auf “nicht erfolgreich” ändern. Schlimmstenfalls könne ein Nutzer sogar dazu verleitet werden, eine Nachricht wiederholt an eine teure Premiumnummer zu versenden, führt Trend Micro weiter aus. Auch diese Lücke hat das Unternehmen erfolgreich unter Android 4.4.4 respektive 5.1.1 ausgenutzt.
Das Sicherheitsunternehmen rät Anwendern, kurzfristig auf alternative Messaging-Apps umzusteigen, bis ein Patch verfügbar ist. “Die Installation einer mobilen Sicherheitslösung für die spezielle Bedrohung sollte ebenfalls in Betracht gezogen werden”, schreibt Seven Shen, Mobile Threat Analyst bei Trend Micro, in einem Blogbeitrag.
Google sei seit 4. Juni über beide Anfälligkeiten informiert. Der Master Branch des Android Open Source Project (AOSP) enthält bereits seit 7. August die von Trend Micro entwickelten Patches. Wann Google sie für seine Nexus-Geräte veröffentlicht, ist ebenso wenig bekannt wie die möglichen Schritte, die seine OEM-Partner zum Schließen der Lücke in ihren Geräten unternehmen werden.
Mit StageFright und Certifi-gate waren in den vergangenen Wochen schon gravierende Schwachstellen in Android entdeckt worden. Nach StageFright – von den Entdeckern als “Mutter aller Android-Lücken” bezeichnet – setzte ein Umdenken bezüglich der Auslieferung sicherheitsrelevanter Updates ein. Google und Samsung kündigten für ihre Geräte regelmäßige Patch-Zyklen an, um die Probleme einzudämmen. Künftig soll mit einer Art regelmäßigem Patchday gewährleistet werden, dass neben den Plattform-Updates auch Sicherheits-Updates die breite Masse der Nutzer so schnell wie möglich erreichen. Allerdings scheint sich Google dafür nicht wie Microsoft und Adobe auf einen bestimmten Tag festlegen zu wollen – bei den beiden ist es der zweite Dienstag im Monat –, sondern lediglich die Selbstverpflichtung aufzuerlegen, derartige Updates mindestens einmal im Monat zu verteilen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de