Android 4.3 und älter: Schwachstelle in der Schlüsselverwaltung
Eine Sicherheitslücke in Androids KeyStore-Prozess erlaubte es Angreifern, geheime Schlüssel auszulesen und mit den Kryptofunktionen des Gerätes Schindluder zu treiben. Die Lücke wurde mit Android 4.4 geschlossen.
- Fabian A. Scherschel
Sicherheitsforscher haben im letzten Jahr eine Lücke in der Schlüsselverwaltung von Android gefunden (CVE-2014-3100). Die Lücke wurde vertraulich an Google gemeldet und bereits mit Android 4.4 geschlossen. Alle Android-Versionen die älter sind, sind angreifbar, allerdings gibt es bisher keine Berichte über konkrete Angriffe. Durch einen Pufferüberlauf kann ein Angreifer Schadcode ausführen und geheime Schlüssel auslesen, sowie die Kryptofunktionen des Gerätes manipulieren.
Das Ausnutzen der Lücke in Androids KeyStore-Prozess ist nicht trivial. Der Sicherheitsforscher von IBM, der mit seinem Team das Problem entdeckt hat, schreibt, dass ein Angreifer sowohl Data Execution Prevention (DEP), Speicherverwürfelung (ASLR) und weitere Sicherheitsvorkehrungen umgehen müsste, um einen erfolgreichen Angriff durchzuführen. Das ist allerdings durchaus im Bereich des Möglichen.
Die Lücke wurde am 9. September an Google gemeldet und am 11. November geschlossen. Die Forscher haben bis heute mit der Veröffentlichung der Lücke gewartet, da es wegen der Zersplitterung des Android-Marktes mitunter sehr lange dauere, bis entsprechende Updates auch bei den Nutzern landen. In der Beschreibung der Lücke bedankt sich das IBM-Team ausdrücklich beim Sicherheitsteam von Android für einen effizienten Umgang mit dem Problem. (fab)