Android Sicherheitslücke: Modifizierte PNG-Datei gibt Angreifern die Kontrolle über das Smartphone

android 

Vor wenigen Tagen hat Google mit der Auslieferung des Android-Sicherheitsupdates für Februar begonnen und in diesem Monat auffällig viele Lücken geschlossen. Dabei hat es auch eine Lücke gegeben, die von vielen übersehen wurde, aber auch zukünftig noch für Probleme sorgen kann: Mit einer manipulierten PNG-Datei lässt sich die Kontrolle über das Smartphone übernehme und beliebiger Code ausführen.


Die Android-Sicherheitsupdate werden zu Beginn jedes Monats von Google veröffentlicht und auf die hauseigenen der Pixel-Serie Smartphones ausgerollt. Alle anderen Smartphone-Hersteller liefern diese Sicherheitsupdates ebenfalls für ihre Smartphones aus, allerdings mit größeren Einschränkungen und in einigen Fällen auch nicht monatlich, sondern quartalsweise. Ältere Geräte hingegen bleibt ungepatcht und die Sicherheitslücken bleiben jeweils bestehen.

malware-android

Das Februar-Sicherheitsupdate enthielt drei kritische Patches, die sich auf das Android-Framework beziehen und eine Lücke in der Verarbeitung von PNG-Dateien stopfen. Durch diese soll es Angreifern möglich sein, die Kontrolle zu übernehmen und innerhalb des privilegieten Prozess beliebigen Code auszuführen. Je nachdem an welcher Stelle die manipulierte PNG-Datei zum Einsatz kommt, kann das dann größeren Schaden anrichten.

The most severe vulnerability in this section could enable a remote attacker using a specially crafted PNG file to execute arbitrary code within the context of a privileged process.

Mehr Informationen sind leider noch nicht bekannt und auch die CVEs CVE-2019-1986 , CVE-2019-1987 und CVE-2019-1988 geben noch nicht viel mehr als technische Erklärungen her. Es ist gut möglich, dass Google sich nach Ablauf einer Frist bis zum Rollout des Patches auf alle unterstützten Geräte noch äußert, aber auch diese Wartezeit macht es natürlich kaum besser. Alle nicht mehr aktualisierten Smartphones hingegen werden weiterhin verwundbar bleiben.

Da sich die Lücke im Framework befindet, könnte sie an allen Stellen ausgenutzt werden, an denen eine PNG-Datei dargestellt wird. Moderne Browser bringen meist eigene Render mit und wären davon ausgenommen, aber eine Garantie ist das natürlich nicht.

» Android: Google rollt Februar-Sicherheitsupdate für alle Pixel-Smartphones aus – diesmal ohne Pixel-Update

» Android: Sicherheitsupdates lassen sich jetzt pausieren & neue Struktur in den Einstellungen (Screenshots)




Teile diesen Artikel:

Facebook twitter Pocket Pocket