Android-Anfälligkeit macht bis zu 60 Prozent aller Mobilgeräte unsicher
Sie findet sich konkret in einer Sicherheitsfunktion von Qualcomm-CPUs. Allerdings lässt sich die Lücke nur über eine bösartige App missbrauchen. Seit Januar liefert Google einen Patch aus, der bislang aber nur auf rund 25 Prozent aller verwundbaren Geräte ermittelt wurde.
Duo Security weist auf eine bereits länger bekannte Anfälligkeit in Android hin, von der womöglich bis zu 60 Prozent aller Geräte mit Googles Mobilbetriebssystem betroffen sind. Der Fehler findet sich in einer Sicherheitsfunktion namens Qualcomm Secure Execution Environment des Chipanbieters Qualcomm, der etwa 80 Prozent aller CPUs für Android-Geräte fertigt. Die Forscher haben den seit Januar erhältlichen Patch für die Schwachstelle jedoch auf lediglich einem Viertel der von ihnen analysierten 500.000 Android-Geräte ermittelt.
Malware, die die Sicherheitslücke ausnutzt, verbreitet sich über bösartige Anwendungen, die es nach Angaben der Forscher auch schon erfolgreich bewerkstelligt haben, Googles Sicherheitskontrollen für den Play Store zu umgehen. Ein Hacker kann anschließend Sicherheitsfunktionen aushebeln und so gegebenenfalls die vollständige Kontrolle über ein betroffenes System übernehmen.
Duo Security merkt jedoch an, dass seine Analyse auf Geräten beruht, die im Unternehmensumfeld genutzt werden. Demzufolge zeigen die Daten auch, dass rund 27 Prozent der Android-Smartphones zu alt sind und daher keine monatlichen Aktualisierungen über Google Play erhalten. Damit diese Geräte nicht mehr dauerhaft verwundbar sind, müssten sie ein Update auf Android-Version 4.4.4 und höher bekommen oder der Anbieter des Geräts müsste einen Patch für die jeweilige Android-Variante des Geräts offerieren.
Die Anfälligkeit in der Qualcomm-Sichheitsfunktion führt dazu, dass besonders vertrauliche Operationen wie die Verwaltung kryptografischer Schlüssel nicht mehr isoliert vom übrigen Betriebssystem in einem geschützten Bereich ausgeführt werden können. Unter Umständen erlaubt das dann Zugriffe auf den geschützten Bereich, was wiederum eine Manipulation des Linux-Kernels zur Folge haben kann. Auf diese Weise können Hacker dann die vollständige Kontrolle über ein Gerät erlangen.
Duo Security stellt allerdings heraus, dass die Schwachstelle nicht so gravierend ist wie die im letzten Jahr aufgetauchte Stagefright-Schwachstelle. “Stagefright konnte benutzt werden, um jeden aus der Ferne anzugreifen, und dafür brauchte man nur die Handynummer”, heißt es in einem Blogbeitrag des Unternehmens. “Diese Anfälligkeit setzt voraus, dass ein Angreifer seinen Code über eine schädliche App verteilt.” Potenziell schädliche Anwendungen sollen laut Googles Android-Sicherheitsbericht jedoch nur auf einem von 200 Smartphones installiert sein.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de