Suchen

Saarbrücker Informatiker entdecken CSS-Attacke für Android Schwere Sicherheitslücke in Android-Smartphones entdeckt

| Redakteur: Peter Schmitz

Smartphones, die mit dem Android-Betriebssystem ausgestattet sind, weisen eine schwere Sicherheitslücke auf. Darüber könnten sich Internet-Kriminelle Zugang zu diesen Handys verschaffen und sensible Informationen ausspähen. Das haben Michael Backes, Professor für Informationssicherheit und Kryptographie der Saar-Uni, und sein Team entdeckt.

Firma zum Thema

Saarbrücker Informatiker haben eine Sicherheitslücke in Android entdeckt, mit der Angreifer via Cross-Site-Scripting die Kontrolle über das Smartphone erhalten.
Saarbrücker Informatiker haben eine Sicherheitslücke in Android entdeckt, mit der Angreifer via Cross-Site-Scripting die Kontrolle über das Smartphone erhalten.
( Archiv: Vogel Business Media )

Der Leiter des neuen Kompetenzzentrums für IT-Sicherheit (CISPA) hat bereits am 20. Juni das Unternehmen Google über die als „lokale Cross-Site Scripting Attacke“ bezeichnete Schwachstelle informiert. Die Forscher um Prof Backes haben entdeckt, dass man über eine manipuliertes Android-App, die man zum Beispiel als Computerspiel tarnen kann, Zugriff auf das Betriebssystem der Smartphones erhalten kann und dadurch Cookies anderer Sessions aus dem Android-Browser stehlen kann. Dadurch ist es wohl auch möglich sich Zugriff auf den Android Market zu verschaffen und so weitere Schadsoftware nachzuladen oder sensible Informationen auszuspähen, Gespräche aufzuzeichnen oder gefälschte Mails zu versenden.

Besonders kritisch sei bei dieser Sicherheitslücke die Tatsache, dass die Anwendung im Gegensatz zu üblichen Angriffen keine besonderen Rechte benötige und die Manipulation am Gerät selbst für den Laien nur schwer zu erkennen sei, da der Eindringling kaum Datenspuren hinterließe. „Wenn man weiß, an welcher Stelle man den Hebel ansetzen muss, ist es erschreckend einfach“, meint der Informatikprofessor. Er hofft nun, dass Google und betroffene Smartphone-Hersteller schnell das Sicherheits-Update auf den Markt bringen, damit kein weiterer Schaden entstehen kann.

Die Experten von Google haben inzwischen den Fehler im Android-Betriebssystem behoben. In Kürze sollen Updates für Android zur Verfügung stehen, mit denen Kunden dann die Sicherheitslücke auf ihren Handys schließen können. Allerdings nur, wenn die Anwender ein Original Google-Smartphone einsetzen oder die Anbieter wie HTC, Samsung, Motorola oder LG bzw. Mobilfunkprovider ein entsprechendes Update bereitstellen.

„Wie bei jeder Software empfehlen wir, angebotene Softwareupdates der Hersteller auf den Handys zu installieren. Damit kann man sicher gehen, dass die eigenen Geräte immer den aktuell höchst möglichen Sicherheitsstandard aufweisen“, sagt Michael Backes.

Der Informatiker, der auch eine Forschergruppe am Max-Planck-Institut für Softwaresysteme in Saarbrücken leitet, hat sich zum Ziel gesetzt, die IT-Sicherheit zu erhöhen und die Privatsphäre der Menschen in der digitalen Welt noch besser zu schützen. In dem neuen IT-Kompetenzzentrum CISPA, das vom Bundesforschungsministerium gefördert wird, will Backes dafür die breite Grundlagenforschung vorantreiben, aber auch Sicherheitstechnologien entwickeln. Ein Schwerpunkt wird außerdem sein, sichere und verlässliche Computersysteme und Netzwerke zu entwerfen.

(ID:2052591)