Gravierende Sicherheitslücke: Auf über 80 Prozent aller Android-Geräte können Angreifer durch ein Problem im KeyStore von Android Zugriff auf Daten erhalten. Nur Android 4.4 KitKat ist nicht betroffen.Â
Auch interessant: Heartbleed: Neue Lücke greift Android-Geräte und Router über WLAN an
Beim leidigen Thema Android-Updates wird nur allzu oft vergessen, dass Software-Aktualisierungen nicht nur neue Features oder eine veränderte UI mit sich bringen können, sondern häufig auch Sicherheitslücken stopfen. So auch geschehen beim Update auf Android 4.4 KitKat, was ein gravierendes Sicherheitsproblem im KeyStore von Android gefixt hat, mit dem Unbefugte Zugriff auf Daten erhalten konnten. Problem: Über 80 Prozent aller Geräte laufen noch auf Android 4.3 oder älter und sind damit weiterhin verwundbar.
Froh ist, wer bereits KitKat hat: In Android 4.4 wurde die Sicherheitslücke schon gestopft.
Was ist mit der Sicherheitslücke möglich?
Vor ganzen neun Monaten sind Software-Entwickler von IBM auf die Sicherheitslücke in Androids Schlüssel-Speicher-Dienst KeyStore gestoßen. Durch zu groß bemessene Zwischenspeicher waren Angreifer in der Lage, Zugriff auf gespeicherte Schlüssel zu erhalten und konnten etwa die Lock-Credentials des Smartphones beziehungsweise Tablets entwenden. Außerdem war es auch möglich, aus dem Speicher entschlüsselte Master-Schlüssel, Daten und Hardware-geschützte Schlüssel-Identifier auszulesen. Dasselbe funktionierte auch beim Flash-Speicher, was besonders brisant ist, denn damit funktionierte das Ganze auch offline bei einem ausgeschalteten Gerät. Ebenso konnten Angreifer mit dem Hardware-Speicher interagieren und Krypto-Operationen (Daten signieren) im Namen des Benutzers ausführen.
Zeitnahe Updates enorm wichtig
Neun Monate haben also die Entwickler von IBM Stillschweigen bewahrt und die Sicherheitslücke nicht öffentlich gemacht. In dieser Zeit haben sie das Android-Security-Team auf das Problem im KeyStore hingewiesen und mit Android 4.4 KitKat wurde die Sicherheitslücke dann gestopft.
Damit zeigt sich wieder einmal, wie wichtig einerseits die Zusammenarbeit von Software-Abteilungen auch verschiedener Unternehmen ist. Andererseits unterstreicht es den Stellenwert von zeitnahen Updates und dass sich Samsung, HTC & Co. nicht mit dem Verweis auf angeblich veraltete Hardware um ihre Verantwortung drücken können, wenn sie mal wieder das Update für ein älteres Smartphone oder Tablet streichen. Wenn schon keine Aktualisierungen auf neue Android-Versionen angeboten werden, dann doch bitte Sicherheitsupdates für einen angemessen großen Zeitraum. Übrigens betrifft die Sicherheitslücke auch Nutzer von Custom ROMs, die noch auf Android 4.3 oder älter basieren beziehungsweise nicht manuell von den ROM-Entwickler gefixt wurde.
Welche Android-Version läuft auf eurem Androiden? Seid ihr von der Sicherheitslücke betroffen?Â
Quelle: Security Intelligence (via AndroidPit)
