Google schließt Sicherheitslücken in Android

Dass Nutzern von Googles Mobilfunksystem Android mehr Sicherheitslücken drohen als Anwendern anderer Geräte, gab schon der Google-Entwickler Dan Morrill auf der Emerging Technology Conference in San Diego zu – ohne aber besonders konkret zu werden. Das hat der Sicherheitsdienstleister Core Security nun nachgeholt. Gleich mehrere Heap und Integer Overflows will Core in den Android-Bibliotheken zur Verbreitung von Bildern PNG-, GIF- und BMP-Format gefunden haben. Einige der Fehler sind laut Bericht auf den Einsatz veralteter, verwundbarer Open-Source-Bibliotheken im Entwicklungskit zurückzuführen, einige seien in neuem Android-Code zu finden.

Durch die Lücken ist es nach Darstellung von Core möglich, Code einzuschleusen und auf dem Gerät zu starten. Bislang hat der Dienstleister dies nach eigenen Angaben nur auf dem in der Android-SDK enthaltenen Emulator getestet. Zudem soll der Code laut Google nur mit den Rechten eines nicht privilegierten Nutzers laufen können. Allerdings soll es sehr einfach sein, an Root-Rechte zu gelangen, da das Konto derzeit über kein Passwort verfügen soll. Ein einfaches su soll genügen, um Root zu werden.

Die Fehler in den Bibliotheken libpng und libgsl (giflib) sind bereits in der seit Mitte Februar verfügbaren Version Android SDK m5-rc14 behoben. Die Überläufe in den BMP-Funktionen sind in der aktuellen Version m5-rc15 beseitigt. Derzeit ist Googles Android ohnehin noch in der Entwicklungsphase, ein offizielles Release gab es noch nicht. Bis dahin soll die gesamte Entwicklungsumgebung noch einem Code Auditing unterzogen werden. Allerdings sollen einige Mobilfunkhersteller ihre Prototypen mit fehlerhaften SDKs erstellt haben. Ob diese Geräte bereits in Umlauf sind, ist nicht bekannt.

Siehe dazu auch:

• Multiple vulnerabilities in Google's Android SDK, Fehlerbericht von Core Security
• Release Notes, Übersicht der Änderungen von Google

(dab)