In den letzten Monaten sind gleich zwei schwerwiegende Sicherheitslücken in Android aufgetaucht, die einem Angreifer nahezu die volle Kontrolle über das System geben: Zum ersten der bekannte Stagefright-Bug der unbemerkt auf das Smartphone kommt und zum zweiten der Bug im Garbage Collector mit dem sich Apps einfach austauschen lassen. Ein Sicherheitsforscher hat nun eine weitere Lücke entdeckt, die zwar längst nicht so schwerwiegend ist, aber doch eine große Schwäche im Lockscreen aufzeigt. Mit etwas Geduld lässt sich die Eingabe des Passworts aushebeln.
Schlagwort: sicherheitslücke
In den letzten Monaten sind gleich zwei schwerwiegende Sicherheitslücken in Android aufgetaucht, die einem Angreifer nahezu die volle Kontrolle über das System geben: Zum ersten der bekannte Stagefright-Bug der unbemerkt auf das Smartphone kommt und zum zweiten der Bug im Garbage Collector mit dem sich Apps einfach austauschen lassen. Ein Sicherheitsforscher hat nun eine weitere Lücke entdeckt, die zwar längst nicht so schwerwiegend ist, aber doch eine große Schwäche im Lockscreen aufzeigt. Mit etwas Geduld lässt sich die Eingabe des Passworts aushebeln.
Auch wenn die Nexus-Geräte mittlerweile aktualisiert und das Problem behoben sein sollte, klafft noch immer in vielen Millionen Smartphones die Stagefright-Lücke, mit der ein Angreifer potenziell die Kontrolle über das gesamte System übernehmen könnte. Jetzt hat der ursprüngliche Entdecker der Lücke, die Sicherheitsforscher von Zimperium, einen funktionierenden Exploit für Android 4.04 veröffentlicht. Damit liegt die grundlegende Funktionalität nun offen, und es sind in Zukunft tatsächliche Angriffe über die Lücke zu befürchten.
Die Stagefright Sicherheitslücke in Android lässt Google nicht zur Ruhe kommen: Nachdem man dachte, dass das Problem zumindest für Besitzer eines Nexus-Smartphones nach dem Rollout des Sicherheits-Updates behoben ist, musste man nun feststellen dass der Patch keinen vollwertigen Schutz bietet. Denn auch der Patch lässt noch eine Lücke offen und macht das System weiterhin angreifbar. Einen erneuten Patch, der auch diese Lücke schließt und das System endlich wieder sicher machen soll, wird Google aber nicht vor September ausrollen.
Immer noch hält die Stagefright-Lücke die Android-Nutzer und -Hersteller in Atem, da haben Forscher von IBM schon die nächste Lücke in Googles Betriebssystem entdeckt: Durch einen Fehler in einer internen Systemfunktion kann der Angreifer beliebigen Code im Kontext einer App ausführen und diese gar gegen eine andere austauschen. Die Lücke betrifft wieder eine große Zahl von Nutzern und war auch in der ersten Preview-Version von Android M vorhanden.
Seit Ende Juli schwebt das Schreckgespenst Stagefright über allen Android-Nutzern und verwandelt fast 1 Milliarde Geräte in ein mobiles Sicherheitsrisiko. Zwar hat Google bereits vor Wochen Patches an die Smartphone-Hersteller ausgeliefert, doch bisher ist davon noch keines bei den Endnutzern angekommen. Mit zwei simplen Apps lässt sich nun testen, ob das eigene Gerät ebenfalls von der Lücke betroffen ist, bzw. ob ein ausgeliefertes Update bereits Wirkung gezeigt hat.
Die Situation mit der Bereitstellung und Auslieferung von Updates bei Android war noch nie wirklich zufrieden stellend und für viele Nutzer ein großes Ärgernis. Doch gerade die Ereignisse der letzten Wochen haben gezeigt, dass das ganze auch ein großes Risiko ist und Sicherheitslücken Tür und Tor öffnet. Jetzt ergreifen Google und Samsung eine dringend notwendige Maßnahme und kündigen monatliche Sicherheitsupdates für die Smartphones an.
Vor zwei Tagen wurde öffentlich bekannt, dass im Android-Betriebssystem eine riesige Sicherheitslücke klafft, von der potenziell alle Nutzer betroffen sind. Die Lücke ist insbesondere deswegen gefährlich, weil sie keine weitere Interaktion des Nutzers erfordert und direkt von Außen von einem Angreifer auf das Smartphone gesendet werden kann - ohne dass sich der Nutzer dagegen wehren könnte. Jetzt hat Google angekündigt, dass man Anfang nächster Woche ein Sicherheitsupdate für Nexus-Geräte anbieten wird.
Immer wieder einmal tauchen in Android Sicherheitslücken auf, die aber in den meisten Fällen keine große Verbreitung finden und ein Zutun des (naiven) Nutzers erfordern. Jetzt ist eine Lücke aufgetaucht, bei der ein Angreifer komplett ohne zutun des Nutzers die volle Kontrolle über das Smartphone übernehmen kann - und das ohne dass der Nutzer dies bemerkt. Betroffen sind ca. 18 Prozent aller Android-Nutzer - eine gigantische Masse von 950 Millionen betroffenen Nutzern. Und ein Patch wird es für die meisten wohl nicht geben.
Ein Update für Google Chrome 41 wurde gestern für Windows, Mac und Linux freigeben. Das Update bringt keine neuen Features mit, aber es schließt insgesamt vier Lücken.
Im Rahmen des Bug Bounty-Programms zahlt Google seit vielen Jahren eine Prämie für gemeldete Sicherheitslücken in den eigenen Produkten und hat Anfang diesen Jahres ein neues Programm gestartet, mit dem man den Bugjägern auch die Arbeitszeit zur Auffindung bezahlt. Jetzt hat ein Teilnehmer dieses Programms eine schwere Lücke in YouTube entdeckt mit der es ohne großen Aufwand möglich gewesen ist, JEDES beliebige YouTube-Video ohne Berechtigung zu löschen. Nachdem Google die Lücke gestopft hat, veröffentlicht Kamil Hismatullin nun seine Vorgehensweise.