Sicherheitsexperte M.J. Keith von Alert Logic hat zu Demonstrationszwecken einen Code veröffentlicht, der eine Softwareschwachstelle in Mobiltelefonen ausnutzen kann, die auf Googles Betriebssystem Android basieren. Damit will Keith einerseits Nutzer und Handsethersteller warnen und andererseits auf Probleme bei der Update-Politik der Plattform hinweisen, berichtet The Register.

Löchrig

Um auf die Sicherheitslücke zu stoßen, habe der Forscher nicht den Code von Android selbst durchforsten müssen, sondern habe sich die dokumentierten Schwachstellen der eingesetzten Webbrowser-Architektur WebKit zu Gemüte geführt, auf der sowohl Googles Webbrowser Chrome als auch etwa Apples Safari basieren.

Prekär daran sei, dass Google die Lücke mittlerweile zwar durch die Android-Version 2.2 gestopft habe, damit aber nur ein kleiner Teil der Android-Anwender geschützt würde. Weil es jedem Handy-Hersteller selbst überlassen wird, für seine Geräte Updates auszuliefern, würden noch etwa zwei Drittel aller Android-Geräte mit einer älteren, ungeschützten Ausgabe des Betriebssystems laufen.

Besseres Patch-System

Dabei sei es laut Keith kein gröberes Problem weitere Schwachstellen ausfindig zu machen, die auch bei Android 2.2 ausgenutzt werden könnten. Der Experte fordert Google daher auf, ein besseres Patch-System einzuführen, das alle Geräte auf dem neuesten Stand hält.

Grund zur Panik sieht Keith trotz seiner Erkenntnisse vorerst nicht. Denn obgleich Googles Update-Politik Nachbesserungen bedarf, haben die Entwickler immerhin dafür gesorgt, dass einzelne Schwachstellen in Android-Programmen wie dem Webbrowser nur schwer die gesamten Systemdaten offenlegen können. Hier habe Google die einzelnen Apps gut vom Kern abgeschottet. Die Brisanz von Browser-Daten sei aber gewiss nicht zu unterschätzen. (zw)

Der WebStandard auf Facebook