Google stopft gefährliche Android-Sicherheitslücke

In der vergangenen Woche deckten die Security-Experten von Bluebox Labs eine gefährliche Sicherheitslücke im mobilen Betriebssystem Android auf. Von der Lücke sind den Schätzungen zufolge fast 99 Prozent aller Android-Geräte betroffen. Die Schwachstelle kann von Angreifern dazu genutzt werden, selbst den Code einer signierten Android-App-Installationsdatei (APK) zu manipulieren.

Jede App könnte so mit Schad-Software ausgestattet werden.

Google hat sich des Problems angenommen und bestätigte heute gegenüber dem US-IT-Magazin ZDNet, dass ein entsprechender Fix an Hardware-Partner ausgeliefert wurde. Diese müssen den Patch nun als Update für ihre Geräte an die Endkunden weiterleiten, um die gravierende Sicherheitslücke zu stopfen. Laut Gina Scigliano, Android Communications Manager bei Google, würden Unternehmen wie Samsung bereits entsprechende Sicherheits-Updates für ihre Smartphones und Tablets-PCs zum Download anbieten.

Mit hoher Wahrscheinlichkeit werden primär nur die «grossen» Hersteller ein offizielles Update anbieten, zumindest die Handys der Hersteller, deren neuste Flaggschiffe zum Auslieferungszeitpunkt noch mit Android 4.0 oder Jelly Bean betrieben waren. Bis jetzt ist nur bekannt, dass das HTC One und Galaxy S4 von Samsung bereits ein offzielles Sicherheits-Update erhalten haben. Auch CyanogenMod hat schnell reagiert und für Custom Modder bereits den neusten Fix in den «Nightly Builds» implementiert.

Als erste Sicherheitsmassnahme nach dem Bekanntwerden der Lücke hatte Google bereits den Abgabeprozess für seinen Play Store modifiziert. Apps, die über den Exploit manipuliert wurden, konnten so nicht mehr über den Store ausgeliefert wurden. Es bleibt abzuwarten, wie lange die Hersteller brauchen werden, um wirklich alle Android-Geräte mit einem Patch auszustatten.

Auf jeden Fall sollten primär nur Apps aus dem Google Play Store installiert werden und auf den Ursprung der Apps geachtet werden. Einen 100-prozentigen Schutz gibt es vorerst bis zum Sicherheits-Update für betroffene Geräte noch nicht. Wer Apps aus nicht autorisierten Quellen (bzw. aus dem «Schwarzmarkt») auf sein Gerät lädt, setzt sich auf jeden Fall einem erheblich höheren Risiko aus. Bluebox hat aktuell einen Security Scanner veröffentlicht, mit dem die Apps nach Schadcode gescannt werden können.

(mit Material von Denise Bergert, pcwelt.de)