Die beiden Sicherheitsexperten Zach Lanier und Jon Oberheide wurden auf zwei Sicherheitslücken im Betriebssystem Android von Google aufmerksam und haben ihre gewonnenen Informationen in einem Blogbeitrag publiziert.
Den dort getroffenen Angaben zufolge haben die beiden Sicherheitsforscher den US-amerikanischen Internetkonzern bereits über diese Probleme informiert. Ob man im Hause Google schon mit der Arbeit an einem Patch beschäftigt ist, teilte man bisher nicht näher mit. Gegenwärtig steht jedenfalls noch kein Update, welches die Probleme aus der Welt schaffen könnte, zur Verfügung. Mit Details und konkreten Informationen zu den beiden angesprochenen Schwachstellen halten sich die beiden Sicherheitsexperten aktuell noch stark zurück. Lediglich einige Randinformationen und ein Demonstrationsvideo liegen bislang vor. Im Zuge der Source-Konferenz in Barcelona will man einen genaueren Einblick geben, heißt es.
Eine der beiden Schwachstellen betrifft neben einigen anderen, wenigen Android-Geräten das Smartphone Samsung Nexus S. Damit ein Angreifer ein entsprechend verwundbares System erfolgreich angreifen kann, sei die Installation einer manipulierten Anwendung im Vorfeld notwendig. Die zweite Sicherheitslücke betrifft hingegen alle gängigen Geräte mit installiertem Android-Betriebssystem. Den Bekanntmachungen der Sicherheitsexperten nach zu urteilen könnte ein Angreifer beliebige Anwendungen auf den Geräten installieren. Das Einverständnis der Nutzer wird dabei nicht verlangt, heißt es.
Jon Oberheide war es auch, der in diesem Jahr auf eine kritische Sicherheitslücke im Android Market aufmerksam wurde und die Entwickler des Internetkonzerns informierte. Darüber wäre unter Umständen die Verteilung von manipulierten Anwendungen möglich gewesen. Kurze Zeit später hat Google die Schwachstelle geschlossen.
Mitte des vergangenen Jahres hat Google erstmals von der Möglichkeit Gebrauch gemacht hat, Apps auf den Android-Smartphones der Kunden zu entfernen. Oberheide hat auf diese Thematik einen genaueren Blick geworfen und damals festgestellt, dass abgesehen von einer REMOVE_ASSET-Funktion auch eine INSTALL_ASSET-Funktionalität zur Verfügung steht. Darüber könnte Google unter Umständen Anwendungen auf den Geräten der Anwender installieren, hieß es damals.
Quelle: winfuture.de