Android: Schwere Sicherheitslücke im Zertifikatsystem

Die Sicherheitsforscher von IBM X-Force haben eine neue Lücke im aktuellen Android von Google entdeckt. Betroffen sind alle Versionen des Betriebssystems ab Versionsnummer 4.3 bis einschließlich Android M.

Eine Applikation kann mit nur wenigen Rechten eine Lücke im Zertifikatsystem von Android ausnutzen um andere Applikationen mit mehr Rechten zu befallen. Über dieses System wird einer eigentlich harmlosen Applikation, wie zum Beispiel einer Taschenlampen-App, zugriff auf alle Funktionen und Informationen des Smartphones gegeben.

Mittels der weitreichenden Berechtigungen kann die Applikation den Smartphone-Nutzer ausspionieren und sogar den Zugriff auf das Smartphone durch Manipulation verhindern.

Die Sicherheitslücke betrifft Androids OpenSSL-X.509-Zertfikatklasse, welche benutzt wird um Apps Zugriff auf das Netzwerk oder die Kamerafunktion zu gewährleisten. Auch wenn Google bereits Patches für Android 4.4, 5.0, 5.1 und Android M zur Verfügung gestellt hat, müssen nun auch die Gerätehersteller den Patch die eigenen Android-Versionen einpflegen.

(Bild: Nexus 5 Smartphone)