Forscher der Indiana University fanden in Zusammenarbeit mit Microsoft sechs Sicherheitslücken im Betriebssystem Android. Die Bugs wurden "Pileup" getauft, was für "Privilege Escalation Through Updating" steht.

Dabei muss eine bösartige Software erst auf einer älteren Android-Version installiert werden. Bekommt das Betriebssystem ein Update, kann die Malware neue, vom Update hinzugefügte, Rechte und Attribute erlangen, ohne den Nutzer zu benachrichtigen.

Die Schwächen kommen wegen einer komplexen Programmarchitektur zustande. Bei jedem Update ändert Google viele Files. Dabei müssen die Applikationen immer noch fehlerfrei arbeiten. Schwierige Programmlogik korrekt zu sich, ist allerdings kompliziert.

Die sechs verschiedenen Sicherheitslücken, die sich im Android Package Management Service (PMS) befinden, sind in allen Versionen des Android Open Source Project (AOSP) enthalten. Zusätzlich besitzen auch alle etwa 3'500 von Handyherstellern und Mobilfunkanbietern speziell modifizierten Ausführungen die Schwachstellen.

Die Forscher entwickelten einen Scanner, namens SecUP, der wartende Apps erkennt. Bereits erfolgte Verletzungen der Sicherheitslücken erkennt SecUP ebenfalls. Google wurde auf die Schwächen aufmerksam gemacht und hat einen der Fehler bereits gepatcht. (csi)