Google schließt kritische Sicherheitslücke in Android

US-Medienberichten zufolge hat Google damit begonnen, das erste Sicherheits-Update für sein Handy-Betriebssystem Android auszugeben. Besitzer von T-Mobiles G1 bekommen das Update automatisch zur Installation angeboten. Während der Installation des Updates sollen laut Systemmeldung keine Notrufe möglich sein. Anschließend ist ein Neustart erforderlich.

Das Update soll die am vergangenen Wochenende bekannt gewordene Lücke in Android schließen. Beim Besuch einer präparierten Webseite mit einer verwundbaren Android-Version können Angreifer eigenen Code in das Handy schleusen und starten. Ursache des Problems soll eine veraltete Version eines Open-Source-Pakets sein, genaue Angaben hat der Entdecker der Lücke, das Unternehmen Independent Security Evaluators (ISE), aber noch nicht gemacht.

Der eingeschleuste Code läuft allerdings nur mit den Rechten des Webbrowers, sodass ein Angreifer nicht das komplette Mobilfunkgerät unter seine Kontrolle bekommen kann. Google verfolgt mit Android den Ansatz, alle Anwendungen durch Ablauf in einer jeweils eigenen Sandbox vom Gesamtsystem zu trennen und so mögliche Sicherheitslücken zu isolieren. Immerhin ließe sich ein Trojaner im Speicherbereich des Browsers (ein Webkit-Derivat) installieren, mit dem man Passwörter und kritische Identifikationsdaten bei der Eingabe auf anderen Webseiten ausspionieren könnte. (dab)