Werde Teil der Community - Registriere dich jetzt kostenlos! | Login
 
 
Autor: Rene Melzer | 24.11.2010 - 15:50 | (62)

Sicherheitslücke in Android ermöglicht Daten-Klau durch präparierte Website

Wieder wurde eine Sicherheitslücke im Smartphone-Betriebssystem Android entdeckt. Sie erlaubt den Diebstahl von persönlichen Daten durch eine präparierte Website oder HTML-E-Mail. Das Leck ist bereits der dritte Fall, der diesen Monat bekannt wurde.

Sicherheitslücke in Android ermöglicht Daten-Klau durch präparierte Website

Thomas Cannon entdeckte die Sicherheitslücke auf seinem HTC Desire | Foto: Hersteller

Im Smartphone-Betriebssystem Android wurde eine weitere Sicherheitslücke entdeckt. Sie ermöglicht, private Daten auszuspähen, wenn man eine präparierte Website besucht oder eine entsprechende HTML-E-Mail bekommt. Die Lücke ist nach Angaben des Sicherheitsexperten Thomas Cannon in allen Android-Versionen enthalten und kann vergleichsweise einfach ausgenutzt werden.

Um an die Daten zu kommen, muss der Hacker unter anderem den Dateinamen und -Pfad kennen, unter dem sie abgespeichert sind. Das ist häufig jedoch kein Problem, wie Cannon anmerkt, denn viele Anwendungen benutzen einheitliche Bezeichnungskonventionen. Zum Glück bekommt der Angreifer durch diese Lücke keine Administrator-Rechte und damit Zugriff auf das gesamte Dateisystem. Er kann jedoch auf die SD-Karte und zu einem geringen Teil auf den internen Telefonspeicher zugreifen.

Der Experte hat Google bereits über die Sicherheitslücke informiert. Das Unternehmen antwortete, dass sie mit Android 2.3 geschlossen werde, das in wenigen Tagen herauskommen soll. Bis aber die Handyhersteller ihren Kunden das Update anbieten werden, können noch viele Monate vergehen, so Cannon. Manche Geräte werden es nie erhalten. Er gibt deshalb den Nutzern den Rat, entweder JavaScript abzuschalten oder einen anderen Browser wie Opera Mobile zu benutzen. Bei den Zusatzprogrammen für Android ist es leichter, ein Update zu erhalten. Außerdem sollte man auf ungenehmigte Download-Aktivitäten in der Statusbar achten.

Die von Cannon entdeckte Lücke ist bereits der dritte Fall innerhalb eines Monats. Anfang November veröffentlichte das Unternehmen Coverity einen Bericht, der 359 Probleme offen legte. Die auf die Fehleranalyse von Software spezialisierte Firma stufte 88 von ihnen als sehr hohes Sicherheitsrisiko ein. Kurze Zeit später zeigten Sicherheitsexperten auf einer von Intel organisierten Konferenz eine Sicherheitslücke im Android Market.

Quelle: Thomas Cannon via Heise
Senden
Artikel bewerten
Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Lesen Sie alle 62 Kommentare in unser Community.
Kommentare
  1. 26.11.10 18:17 pixelflicker (Professional Handy Master)

    @Birk:
    > ** Ist das ein Fehler im Browser oder im System? **
    > Wenn ich das richtig verstanden habe: Im System. Der Browser dient nur dazu den
    > Code herunterzuladen.

    Hmm, du scheinst ganz gut Bescheid zu wissen, mir ist aber eines noch nicht klar: Wird JavaScript nicht vom Browser ausgeführt? So ist es doch unter anderen Systemen und nur so würde die Sandbox greifen.

    Mir kommt es weiterhin wie ein Problem des Browsers vor. Es wäre also ein Sicherheitsplus, wenn der Browser einzeln updatebar wäre (wie Maps). Generell wäre natürlich ein Updatesystem wie es Windows (Phone) verwendet die beste Lösung und auch ein großer Vorteil gegenüber iOS.
    Ich denke das wird über kurz oder lang kommen.

  2. 26.11.10 10:24 NewPhone (Expert Handy Profi)

    Danke für eure Mühe.

    (Ich hatte übrigens nicht gesehen, ob nach meinem Betrag noch etwas kam, dass den Thread noch weiter verwässert oder zu einer Eskalation geführt hatte. Ich war nur bei einem späteren Besuch verwundert, dass zumindest mein langer Beitrag einfach verschwunden war.)

    Jetzt ist ja alles wieder gut.

  3. 26.11.10 09:49 Frank Kabodt (ehemaliger Mitarbeiter von areamobile.de)
    @ NewPhone und Birk

    Noticed hat alles wichtige gesagt... hier der Link:

    http://www.areamobile.de/community/apple/162798-vergleich-sicherheit-von-apple-os-und-windows.html

  4. 26.11.10 09:30 Noticed (Expert Handy Profi)

    @NewPhone
    Da ich die Mühe gesehen habe, die du dir mit deinem Beitrag gemacht hast, habe ich diesen aufgehoben, um ihn in Bedarfsfall wo anders einzufügen.
    Allerdings würde der einzelne Beitrag hier jetzt wenig Sinn machen.

    Die Diskussion in einen anderen Thread auszugliedern wäre sicherlich Möglich gewesen, aber die Art und Weise, wie die Diskussion verlief, hätte auch dort sicherlich zu keinem guten Ende geführt.

    Also keine Angst, sinnvolle Beiträge verschwinden hier nicht im Nirvana ;)

  5. 26.11.10 08:35 Birk (Expert Handy Profi)

    Auch wenn ich das Löschen prinzipiell richtig finde, kann ich NewPhone in diesem Fall verstehen.

    Könnte man (gerade wenn es wie hier einen ganzen Themenbereich betrifft) die Postings nicht woanders hin verschieben?

  6. 26.11.10 01:07 NewPhone (Expert Handy Profi)

    @Noticed: Hier wurde unglaublich viel Unsinn zu Mac OS X und iOS geschrieben (und ich glaube, der Quatsch steht hier immer noch) und ich wollte das mit meinem, zugegeben langen, dafür aber wenigstens inhaltlich korrekten, Beitrag richtig stellen. Da durch die Löschung die Mühe die ich mir gemacht habe, alles wasserdicht belegbar zu formulieren, zunichte gemacht wurde, habe ich keine Lust mehr, weiterhin hier Beiträge zu schreiben (wozu, wenn hier ohnehin nach Gusto gelöscht wird?). Entweder Beitrag wieder einfügen (gerne auch in einem neu erzeugten Thread mit passendem Namen) oder dies war mein letzter Text hier!

antworten
 
Aktuelle Geräte im Test