Die weite Verbreitung aber auch die reichlich suboptimale Update-Situation macht Android zu einem beliebten Objekt der Sicherheitsforscher. Immerhin betreffen selbst Lücken in nicht mehr ganz so neuen Betriebssystemversionen schnell mal einen erklecklichen Anteil der Nutzer. Ob dies dann auch eine reale Gefährdung darstellt, ist natürlich eine ganz andere Frage, die separat zu beantworten ist.

Fehler

Zhi Xu, Forscher bei Palo Alto Networks, beschreibt nun in einem neuen Blog-Post eine Lücke, durch die theoretisch die Hälfte aller Android-Geräte gefährdet ist. Konkret geht es um einen Bug im Android-App-Installer: Erst mit Android 4.3 überprüft dieser nämlich korrekt, ob es sich bei einer manuell installierten App auch tatsächlich um jene handelt, deren Installation die Nutzer gerade autorisiert haben.

Angriffsszenarien

Dadurch wäre es etwa möglich, eine unverdächtig scheinende App anzubieten, die im Hintergrund dann Schadsoftware herunterlädt und installiert. Ebenso könnte ein Angreifer den Bug dazu nutzen, um die wahren Berechtigungen einer App zu verschleiern.

Einschränkung

Bei all dem gibt es aber eine entscheidende Einschränkung: Der Bug lässt sich nur bei der manuellen Installation von Paketen ausnutzen. Wer seine Apps nur über den Play Store bezieht ist also nicht gefährdet. Dies resultiert daraus, da der Play Store einen eigenen geschützten Bereich zur Zwischenlagerung der Apps nutzt, auf den sonst niemand Zugriff hat. Insofern bleibt die Lehre hier einmal mehr keine Apps aus nicht vertrauenswürdigen Quellen zu beziehen.

Statement

Von Seiten Google heißt es dazu lediglich, dass die Lücke bereits vor rund zwei Jahren geschlossen wurde, und ein Patch im Android Source Code zur Verfügung steht. Der Ball ist also bei den Hardwareherstellern ein entsprechendes Update für ihre Geräte zu schmieden.

Test

Palo Alto Networks bietet eine App mit der die Nutzer ihre Geräte auf Verwundbarkeit gegenüber der betreffenden Lücke testen können. Dies ist auch deswegen von Interesse, da offenbar nicht alle Hardwarehersteller den Google-Patch in ihre Android-4.3-Versionen übernommen haben. (apo, 26.3.2015)