Details zu Lücken in Palm Pre und Android veröffentlicht

In einem Interview mit PC Pro hat der Leiter des Sicherheitsdienstleisters MWR Alex Fidgen Details zu offenbar bereits geschlossenen Lücken im Palm Pre und Android ausgeplaudert. Demnach ließ sich nach seinen Angaben durch das Öffnen präparierter vCards (als Anhang einer E-mail) Code in den Palm Pre einschleusen und starten. Dadurch sei es möglich, das Gerät fernzusteuern und auch als Abhörwanze zu missbrauchen.

Ob MWR das wirklich in der Praxis demonstriert hat, sagte Fidgen nicht. Palm wurde im Mai über das Problem informiert und hat den Fehler Anfang Juli mit der Veröffentlichung von webOS 1.4.5 behoben. Seltsamerweise behauptet Fidgen im Interview mit PC Pro jedoch, Palm habe nicht reagiert – obwohl MWR auf seiner Webseite am 7. Juli selbst meldet, ein Patch stehe zu Verfügung.

Googles Android ließ sich laut Fidgen durch eine Schwachstelle in der Browser-Engine WebKit ebenfalls Schadcode unterjubeln. Damit sei es möglich gewesen, sämtliche im Browser gespeicherten Nutzernamen und Passwörter auszulesen. Dazu reicht der Aufruf einer präparierten Webseite. Google soll die Schwachstellen in dem kürzlich fertig gestellten Android 2.2 (Froyo) beseitigt haben.

Das nützt allerdings denjenigen Anwendern nichts, deren Smartphone-Hersteller oder Mobilfunkbetreiber keine Updates auf die aktuelle Version für die Android-Geräte anbieten. Laut Google nutzen derzeit nur 5 Prozent aller Android-Handys (die auf den Android market zugreifen) Version 2.2.

Ohnehin ist die Update-Politik von Google undurchsichtig; Informationen zu geschlossenen Lücken gibt der Hersteller anders als etwa beim Browser Chrome so gut wie nie selbst bekannt. Darüber hinaus sollen auch andere Plattformen den Fehler aufweisen, deren Browser auf WebKit beruhen. Ob das iPhone mit Safari dazu zählt, ist jedoch nicht bekannt. (dab)