Eine Sicherheitslücke im Android-Betriebssystem hat das US-amerikanische Unternehmen Bluebox entdeckt. In einem Verfahren, das bei der Installation angewendet wird, besteht seit etwa vier Jahren ein Schwachpunkt, der für das Einschleusen beliebigen Schadcodes missbraucht werden kann.
Die Installation von Apps erfolgt nur dann, wenn die Integrität des Installationspakets mit einer Signatur versehen ist, die diese bescheinigt. In der Theorie sollte die Signatur verloren gehen, wenn das Paket manipuliert wird. Nun hat Bluebox ein Verfahren entdeckt, bei dem die Signatur bei Veränderung der Installationsdatei intakt bleibt.
Wie heise.de schreibt, ist die Sicherheitslücke besonders dort gefährlich, wo Software des jeweiligen Geräteherstellers installiert wird. Diese erhält für gewöhnlich höhere Rechte als andere Apps. So kann ein eingeschmuggelter Code aufgrund dieser höheren Priorisierung mehr Schaden im System anrichten. Der Entwickler des Schadcodes benötigt dazu Zugriff auf die Installationsdateien.
Als einziger Hersteller hat bislang Samsung für das Galaxy S4 ein Update zur Verfügung gestellt, das diese Lücke schließt. Die Schwachstelle soll sich bereits seit Android 1.6 (Donut) im System befinden – diese Version erschien vor vier Jahren.
