Neue Android-Sicherheitslücke entdeckt

24. März 2014 um 16:15
  • security
  • android
  • google
image

Forscher der Indiana University fanden in Zusammenarbeit mit Microsoft sechs Sicherheitslücken im Betriebssystem Android. Die Bugs wurden "Pileup" getauft, was für "Privilege Escalation Through Updating" steht.

Forscher der Indiana University fanden in Zusammenarbeit mit Microsoft sechs Sicherheitslücken im Betriebssystem Android. Die Bugs wurden "Pileup" getauft, was für "Privilege Escalation Through Updating" steht.
Dabei muss eine bösartige Software erst auf einer älteren Android-Version installiert werden. Bekommt das Betriebssystem ein Update, kann die Malware neue, vom Update hinzugefügte, Rechte und Attribute erlangen, ohne den Nutzer zu benachrichtigen.
Die Schwächen kommen wegen einer komplexen Programmarchitektur zustande. Bei jedem Update ändert Google viele Files. Dabei müssen die Applikationen immer noch fehlerfrei arbeiten. Schwierige Programmlogik korrekt zu sich, ist allerdings kompliziert.
Die sechs verschiedenen Sicherheitslücken, die sich im Android Package Management Service (PMS) befinden, sind in allen Versionen des Android Open Source Project (AOSP) enthalten. Zusätzlich besitzen auch alle etwa 3'500 von Handyherstellern und Mobilfunkanbietern speziell modifizierten Ausführungen die Schwachstellen.
Die Forscher entwickelten einen Scanner, namens SecUP, der wartende Apps erkennt. Bereits erfolgte Verletzungen der Sicherheitslücken erkennt SecUP ebenfalls. Google wurde auf die Schwächen aufmerksam gemacht und hat einen der Fehler bereits gepatcht. (csi)

Loading

Mehr erfahren

Mehr zum Thema

image

BSI musste Microsoft juristisch zu Auskünften zwingen

Die deutsche Security-Behörde wollte mehr zum E-Mail-Hack vom letzten Jahr wissen. Microsoft lieferte unbefriedigende Antworten.

publiziert am 17.5.2024
image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024