Android-Handy mit Sicherheitsleck
Beim Besuch einer präparierten Webseite mit Android können Angreifer Code in das Handy schleusen und starten. Google arbeitet an einem Update für T-Mobile-Kunden.
- Erich Bonnert
- Daniel Bachfeld
Nur wenige Tage nach dem lange erwarteten Verkaufsstart des G1 bei T-Mobile haben Sicherheitsexperten der Firma Independent Security Evaluators (ISE) ein gravierendes Sicherheitsrisiko in der von Google entwickelten Software gefunden. Beim Besuch einer präparierten Webseite mit Android können Angreifer eigenen Code in das Handy schleusen und starten. ISE will einen zuverlässigen Exploit zum Ausnutzen der Lücke entwickelt haben. Ursache des Problems soll eine veraltete Version eines Open-Source-Pakets sein, genaue Angaben machte das Unternehmen aber noch nicht.
Der eingeschleuste Code läuft nur mit den Rechten des Webbrowers, sodass ein Angreifer nicht das komplette Mobilfunkgerät unter seine Kontrolle bekommt. Google verfolgt mit Android den Ansatz, alle Anwendungen durch Ablauf in einer jeweils eigenen Sandbox vom Gesamtsystem zu trennen und so mögliche Sicherheitslücken zu isolieren. Immerhin ließe sich ein Trojaner im Speicherbereich des Browser (ein Webkit-Derivat) installieren, mit dem man Passwörter und kritische Identifikationsdaten bei der Eingabe auf anderen Webseiten ausspionieren könnte.
Google ist über das Problem informiert. Der Suchmaschinist aus Mountain View will den Fehler in einer Open-Source-Version des Browsers auch schon behoben haben. Eine Benachrichtigung an die G1-Kunden sei noch nicht erfolgt, Google will aber mit T-Mobile ein Update vorbereiten.
Siehe dazu auch
- Exploiting Android, Bericht von Independent Security Evaluators
(Erich Bonnert)/ (dab)
