Hacker entdecken kritische Sicherheitslücke in Android, Geräte von HTC, Samsung, Motorola und Google betroffen

Hacker haben eine kritische Sicherheitslücke in Android aufgedeckt, die es einem Angreifer ermöglichen würde unbemerkt Telefonate aufzuzeichnen, Standortdaten abzufragen und andere sensible Daten abzugreifen. Hier lest ihr die Details.

Herstelleranpassungen als Sicherheitsrisiko

Betroffen von der Sicherheitslücke seien laut den Forschern der North Carolina State University Android-Smartphones von HTC, Samsung, Motorola und Google – diese enthalten Code welcher zur Umgehung der Sicherheitsabfragen bei unbekannten Apps genutzt werden kann. “Explicit capability leaks” nennen die Wissenschaftler diese Lücken, welche es ermöglichen die an sich manuelle Sicherheitsfreigabe durch den User zu umgehen.

“Wir glauben das diese Ergebnisse nachweisen, dass capability leaks eine ernstzunehmende Schwachstelle bei vielen auf dem Markt erhältlichen Geräten darstellen”, so die Forscher in einem Fachbericht, welcher im nächsten Jahr auf dem Network and Distributed System Security Symposium präsentiert werden soll. “Insbesondere Smartphone mit vielen Vorinstallierten Apps neigen zu solchen capability leaks”. Laut dem Team der NCSU sollen sich die entsprechenden Codes vor allem in den Anpassungen finden lassen, die Hersteller an Googles Basisversion vornehmen.

HTC am unsichersten

Mit dem eigenen entwickeltem Diagnosetool “Woodpecker” (Specht) testeten die Forscher acht Geräte von vier Herstellern, das Ergebnis: HTCs EVO 4G ist am meisten betroffen, dort konnten unter anderem der Standort, die Kamera, Textnachrichten und die Audioaufnahme angesteuert werden. An zweiter Stelle ebenfalls ein Gerät von HTC, das Legend.

Samsungs Epic 4G konnte dazu gebracht werden den Speicher zu löschen, Googles Nexus One und Nexus S enthielten hingegen nur eine Lücke.

Und um das ganze etwas zu visualisieren, haben die Wissenschaftler eine Test-App auf dem EVO 4G laufen lassen und damit unerlaubt die Audioaufzeichnung und die Textnachrichten übernommen. Somit haben sie das EVO 4G in eine Abhörwanze verwandelt, die zudem auch noch ungefragt SMS versenden kann.

(via theregister.co.uk)