Lion13
Ehrenmitglied
- 5.263
Schon mehrfach haben wir an dieser Stelle über Sicherheitslücken der Android-Plattform berichtet (zuletzt im letzten Newsflash über den Sicherheits-Dienstleister Coverity, der 88 kritische Lücken im Android-Kernel gefunden haben will). Bisher wurden Sicherheitsbedenken von vielen als rein theoretisch bezeichnet, weil für die bisher bekannten Situationen (bzw. kürzlich ein SMS-Trojaner) eine aktive "Mitarbeit" des Smartphone-Benutzers erforderlich war. Nun berichtet Heise aber über ein real existierendes Exploit der Spezialisten von Alert Logic, das eine Hintertür auf Android-Smartphones nutzt: Zu Demonstrationszwecken wird die diese zwar "nur" auf einer fest programmierten internen IP-Adresse (10.0.2.2 auf Port 2222) geöffnet - somit ist das Exploit in dieser Form z.B. für die sog. "Script Kiddies" nicht verwendbar; versiertere Hacker könnten den Code aber durchaus anpassen - zur Infektion reicht im übrigen der Besuch einer entsprechenden präparierten Webseite.
Das Exploit nutzt eine schon länger bekannte Sicherheitslücke im WebKit-Framework - diese wurde zwar laut Google in Android 2.2 geschlossen, nicht aber in den älteren OS-Versionen, die immer noch zu über 60 Prozent verbreitet sind. Es fragt sich überhaupt, warum Google (im Gegensatz z.B. bezüglich seines Browsers Chrome) zu Sicherheitslücken bei Android so gut wie keine Informationen herausgibt; Heise vermutet, daß dies aus Rücksicht auf die Geräte-Hersteller passiert, deren Updates mit den angepaßten Oberflächen oft monatelang nach den offiziellen OS-Releases und OTA-Updates beim Kunden ankommen. Anfragen von Heise.de an Google zu dieser Thematik blieben bisher leider unbeantwortet...
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...-im-flash-player-auch-fuer-android.44847.html
https://www.android-hilfe.de/forum/...ziert-ersten-trojaner-fuer-android.39273.html
https://www.android-hilfe.de/forum/...gle-sicherheitsluecken-bei-android.39852.html
Quelle: Heise.de
Das Exploit nutzt eine schon länger bekannte Sicherheitslücke im WebKit-Framework - diese wurde zwar laut Google in Android 2.2 geschlossen, nicht aber in den älteren OS-Versionen, die immer noch zu über 60 Prozent verbreitet sind. Es fragt sich überhaupt, warum Google (im Gegensatz z.B. bezüglich seines Browsers Chrome) zu Sicherheitslücken bei Android so gut wie keine Informationen herausgibt; Heise vermutet, daß dies aus Rücksicht auf die Geräte-Hersteller passiert, deren Updates mit den angepaßten Oberflächen oft monatelang nach den offiziellen OS-Releases und OTA-Updates beim Kunden ankommen. Anfragen von Heise.de an Google zu dieser Thematik blieben bisher leider unbeantwortet...
Diskussion zum Beitrag
Weitere Beiträge auf Android-Hilfe.de
https://www.android-hilfe.de/forum/...-im-flash-player-auch-fuer-android.44847.html
https://www.android-hilfe.de/forum/...ziert-ersten-trojaner-fuer-android.39273.html
https://www.android-hilfe.de/forum/...gle-sicherheitsluecken-bei-android.39852.html
Quelle: Heise.de
