Dienstleister will 88 kritische Lücken in Android entdeckt haben

Der Sicherheitsanalyst Coverity hat nach eigenen Angaben 88 kritische Schwachstellen im Kern von Googles Betriebssystem für mobile Plattformen Android entdeckt. Coverity will bei der Analyse eines HTC (Droid) Incredible (Android 2.1) auf die Probleme gestoßen sein, zu denen unter anderem nichtinitialisierte Variablen und Speicherverletzungen (Memory Corruptions) zählen.

Ob und welche Lücken im Android-Kernel sich wirklich zum Eindringen in ein Gerät ausnutzen lassen, gibt der Dienstleister ebenso wenig an, wie er Angaben darüber macht, ob sie sich nur lokal oder aus der Ferne missbrauchen lassen. Allerdings klassifiziert die Mozilla Foundation beispielsweise Memory Corruptions in Firefox grundsätzlich seit Längerem ebenfalls als kritisch, da sich dadurch Code einschleusen und starten lassen könnte.

Coverity will erst in 60 Tagen weitere Infos über die Lücken veröffentlichen. Bis dahin sollen Google und andere Hersteller Zeit haben, die Lücken zu schließen. Das wäre das erste Mal, dass Informationen über Fehler in Android in größerem Stil öffentlich würden. Google schweigt sich bislang zu Lücken in Android generell aus und gibt auch keine Hinweise darauf, welche Probleme in neueren Versionen beseitigt wurden. Die vor knapp zwei Jahren für diese Zwecke eingerichteten Google-Gruppen Android Security Announcements und Android Security Discussions werden gar nicht oder nur selten mit Postings gefüllt.

Ab und zu tauchen dennoch Informationen über Schwachstellen (etwa im Dienst init) auf, die in der Regel jedoch bislang nur zum "Rooten" eines Gerätes benutzt werden. Zuletzt berichtete das Unternehmen MWR von Lücken in Android. Durch eine Schwachstelle in der Browser-Engine WebKit lässt sich einem Gerät Schadcode unterjubeln. Damit sei es in Tests möglich gewesen, sämtliche im Browser gespeicherten Nutzernamen und Passwörter auszulesen. Dazu reicht laut MWR der Aufruf einer präparierten Webseite. Google soll die Schwachstellen in Android 2.2 (Froyo) beseitigt haben. Die Version ist allerdings für viele Geräte immer noch nicht verfügbar und wird es auch nie sein.

Coverity benutzte automatisierte Tools, um die Lücken aufzuspüren; insgesamt hat man damit 359 Fehler gefunden. Immerhin bescheinigt Coverity dem HTC-Code, nur halb so viele Fehler aufzuweisen wie der sonst übliche "Industrie-Code". Die Wahl fiel wohl deshalb auf das HTC Incredible, weil ein Coverity-Mitarbeiter solch ein Gerät besitzt. Streng genommen hat Coverity also nur ein von HTC angepasstes Android untersucht, allerdings unterscheiden sich die verschiedenen Geräte zumindest im Kernelbereich nur in den unterschiedlichen Hardwaretreibern.

Mit der Sicherheit von Android und anderer Plattformen beschäftig sich auch der Artikel " Mobile Bedrohungen – Spionageangriffe und Abzocke auf Android und iPhone" (dab)