Terminal-Emulator-App für Android: Gefährliche Lücken in Termux geschlossen
Angreifer könnten Android-Geräte mit der Termux-App attackieren und unter Umständen Root-Befehle ausführen. Die Version in Google Play ist noch verwundbar.
(Bild: Tero Vesalainen / Shutterstock.com)
Wer unter Android die Terminal-Emulator-App Termux nutzt, sollte sicherstellen, dass die Anwendung auf dem aktuellen Stand ist. Bislang gibt es die gegen mögliche Attacken abgesicherte Version aber nur auf Github oder im Appstore F-Droid.
Mit Termux kann man beispielsweise mit Befehlen auf der Kommandozeile arbeiten und so via rsync ein Backup der eigenen Kontakte auf einem entfernten Server anfertigen. Der Zugriff kann dabei über den integrierten SSH-Client stattfinden.
Attacken mit Root-Rechten
In einer Warnmeldung weisen die Entwickler darauf hin, dass sie in der aktuellen Version v0.118.0 mehrere Sicherheitslücken geschlossen haben. Aufgrund von unzureichenden Pfadprüfungen könnten Angreifer eigene Befehle ausführen.
Das kann unter bestimmten Voraussetzungen sogar mit Root-Rechten klappen. In so einem Fall ist es vorstellbar, dass Angreifer Geräte vollständig kompromittieren könnten. Die Lücke soll seit der ersten Veröffentlichung der App im Jahr 2015 bestehen.
Durch das erfolgreiche Ausnutzen einer weiteren Sicherheitslücke könnten Angreifer unberechtigt auf bestimmte Daten zugreifen. Aufgrund der Sicherheitsprobleme weisen die Entwickler darauf hin, dass etwa SSH-Schlüssel kompromittiert sein könnten. Nutzer sollten diese nach der Installation des Sicherheitsupdates löschen und neu ausstellen.
Bislang sind keine CVE-Nummern zu den Lücken verfügbar. Auch eine Einstufung des Bedrohungsgrads steht noch aus.
Patch noch nicht überall verfügbar
Die Entwickler weisen außerdem darauf hin, dass das Update erst später in Google Play verfügbar ist. Der Grund dafür ist eine Vorgabe in Android 10, dass eine bestimmte SDK-Version zum Einsatz kommen muss, die die Termux-Entwickler derzeit aber nicht einsetzen können. Wer die App nutzt, sollte diese Version vorerst löschen und die abgesicherte Ausgabe von Github oder F-Droid installieren.
[UPDATE 17.02.2022 15:15 Uhr]
Warum es derzeit keine Updates für Termux im App Store Google Play gibt im Fließtext ergänzt.
(des)
