![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\")
Android hat Erfolg (mehr als 1 Milliarde Android-Ger\u00e4te gibt es)! Android Ger\u00e4te sind erschwinglich (ab 35 Euro aufw\u00e4rts)! Und Android-Ger\u00e4te fallen st\u00e4ndig durch neue Sicherheitsl\u00fccken auf. Updates? Bei vielen Herstellern Fehlanzeige. Ein Paradies f\u00fcr Malware und deren Entwickler. Und selbst die Android-Updates werden m\u00f6glicherweise zum Problem.<\/p>\n
<\/p>\n
Was war das sch\u00f6n, als Du noch einfach zum Telefonh\u00f6rer greifen und schlicht telefonieren konntest. Das Schlimmste, was dir passieren konnte: Die Leitung war tot \u2013 und bei Gewitter sollte man nicht telefonieren. Heute hast Du ein Smartphone, m\u00f6glicherweise mit Android \u2013 und musst dir st\u00e4ndig Gedanken um Sicherheitsl\u00fccken, Malware, betr\u00fcgerische SMS und In-App-Kauf-Missbr\u00e4uche machen. <\/p>\n
Jetzt gibt es eine neue Bedrohung durch Pileup-Schwachstellen. Das K\u00fcrzel Pileup steht f\u00fcr 'Privilege Escalation through Updateing' \u2013 ein Sicherheitsproblem, welches es Malware-verseuchten Apps erm\u00f6glicht, die Privilegien bei einem Android-Update zu erh\u00f6hen, ohne dass der Benutzer informiert wird. Beschrieben werden diese Pileup-Flaws in einem Forschungsbericht, der gemeinsam von Forschern der Indiana University und Microsoft (ich wei\u00df, trotzdem nicht unbedingt schlecht) ver\u00f6ffentlicht wurde. In diesem Bericht wird eine neue Klasse von Android-Angriffsszenarien \u00fcber Pileup Flaws durch Betriebssystem-Updates beschrieben. Zitat der Forscher:<\/p>\n
\n\"Every few months, an update is released, which causes replacement and addition of tens of thousands of files on a live system. Each of the new apps being installed needs to be carefully configured to set its attributes within its own sandboxes and its privileges in the system, without accidentally damaging existing apps and the user data they keep,\" the researchers wrote. \"This complicates the program logic for installing such mobile updates, making it susceptible to security-critical flaws.\"<\/p>\n<\/blockquote>\n
\n\"Through the app running on a lower version of Android, the adversary can strategically claim a set of carefully selected privileges or attributes only available on the higher OS version,\" the researchers wrote.<\/p>\n<\/blockquote>\n
Problem ist also: Bei Updates werden oft tausende an Dateien ersetzt und Apps m\u00fcssen gem\u00e4\u00df ihren Sicherheitseinstufungen mit Privilegien versorgt werden \u2013 ohne dass sich da ggf. Beeinflussungen durch andere Apps ergeben. Und das ist ein Quell f\u00fcr Fehler. Die Forscher geben an, dass das auch dem Umstand geschuldet ist, dass die Apps nach dem Android-Update nicht erneut beim Benutzer nachfragen, ob bestimmte Zugriffsrechte zugeteilt werden d\u00fcrfen. Stattdessen erfolgt dies durch einen Hintergrundprozess ohne Benutzerinteraktion. Das ist auch verst\u00e4ndlich, denn der Durchschnittsbenutzer ist nicht in der Lage, nach einem Android-Update f\u00fcr 100 Apps die Sicherheitsprivilegien festzulegen. Und Android-Apps fordern in letzter Zeit w\u00e4hrend der Installation eh den Zugriff auf alles vom Benutzer an. <\/p>\n
Laut dem Bericht geben die Forscher an, insgesamt sechs unterschiedliche Pileup-Sicherheitsl\u00fccken im Android Package Management Service (PMS) gefunden zu haben. \u00dcbrigens alle Sicherheitsl\u00fccken beziehen Sie auf die Android Open Source Project-Versionen \u2013 und es gibt mehr als 3.500 angepasste (customized) Versionen von Android, die durch Smartphone-Hersteller (OEMs) und Mobilfunkanbieter erstellt wurden. Unterm Strich sind, laut Ansicht der Forscher, da drau\u00dfen mehr als eine Milliarde Android-Ger\u00e4te, die \u00fcber diese Pileup-Sicherheitsl\u00fccken angreifbar seien. <\/p>\n
Es sei daher nur eine Frage der Zeit, bis so etwas ausgenutzt w\u00fcrde, meinen die Forscher. Daher haben Sie einen Scanner mit dem Namen SecUP entwickelt. Dieser kann gef\u00e4hrliche Apps, die auf Angriffsm\u00f6glichkeiten \u00fcber Erh\u00f6hung der Privilegien warten, identifizieren. Der Scanner pr\u00fcft den Quellcode des PMS (von verschiedenen Android-Versionen), um Verletzungen bei den Sicherheitseinstellungen zu ermitteln. Google ist \u00fcber die Sicherheitsl\u00fccken informiert und hat bereits eine per Update gefixt. Gestern hatte ich noch den Artikel Sicherheit: Die Apps sind mittlerweile das Problem!<\/a> ver\u00f6ffentlicht. Heute bin dann auf diesen ZDNet-Artikel gesto\u00dfen, der das Problem f\u00fcr Android aus einer anderen Perspektive adressiert. <\/p>\n","protected":false},"excerpt":{"rendered":"
Android hat Erfolg (mehr als 1 Milliarde Android-Ger\u00e4te gibt es)! Android Ger\u00e4te sind erschwinglich (ab 35 Euro aufw\u00e4rts)! Und Android-Ger\u00e4te fallen st\u00e4ndig durch neue Sicherheitsl\u00fccken auf. Updates? Bei vielen Herstellern Fehlanzeige. Ein Paradies f\u00fcr Malware und deren Entwickler. Und selbst … Weiterlesen