Mehrere Sicherheitslücken in einigen weitverbreiteten Android-Smartphones haben Forscher der North Carolina State University (ncsu) entdeckt, durch die Angreifer etwa Daten abgreifen oder löschen, SMS-Nachrichten versenden, die Kommunikation abhören oder eine Standortbestimmung vornehmen können. Diese Schwachstellen werden durch vorinstallierte Apps einiger Smartphone-Anbieter verursacht, die sich nicht an das Android-Sicherheitskonzept halten.

Acht Smartphones von vier Herstellern hatten die Forscher untersucht: Das Wildfire S, Legend und EVO 4G von HTC, das Motorola Droid und Droid X, Samsungs Epic 4G sowie Googles Modelle Nexus One und Nexus S. Nach eigenen Angaben waren die Wissenschaftler überrascht darüber, dass sich die herstellereigenen Implementierungen nicht an das rechtebasierte Sicherheitsmodell von Android hielten, während sie in ihrer Studie "Systematic Detection of Capability Leaks in Stock Android Smartphones" an Googles Referenzimplementierungen auf den Nexus-Modellen wenig zu beanstanden hatten.

Vor allem entstehen die Schwachstellen dadurch, dass installierte Apps ihre Rechte wie den Zugriff auf lokale Daten, GPS- oder Mobile-Netze an andere weiterreichen können. Dadurch, dass die Hersteller ihre vorinstallierten Apps derart konfiguriert haben, können andere Apps diese Rechte nutzen, ohne dass der Benutzer ihnen diese Rechte zugebilligt hat. Die Forscher haben von Google und Motorola inzwischen eine Bestätigung der Schwachstellen erhalten, bei HTC und Samsung stießen sie dagegen auf Schwierigkeiten, ihre Erkenntnisse weiterzureichen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE