Saarbrücker Informatiker entdecken CSS-Attacke für Android

Schwere Sicherheitslücke in Android-Smartphones entdeckt

11.08.2011 | Redakteur: Peter Schmitz

Saarbrücker Informatiker haben eine Sicherheitslücke in Android entdeckt, mit der Angreifer via Cross-Site-Scripting die Kontrolle über das Smartphone erhalten.
Saarbrücker Informatiker haben eine Sicherheitslücke in Android entdeckt, mit der Angreifer via Cross-Site-Scripting die Kontrolle über das Smartphone erhalten.

Smartphones, die mit dem Android-Betriebssystem ausgestattet sind, weisen eine schwere Sicherheitslücke auf. Darüber könnten sich Internet-Kriminelle Zugang zu diesen Handys verschaffen und sensible Informationen ausspähen. Das haben Michael Backes, Professor für Informationssicherheit und Kryptographie der Saar-Uni, und sein Team entdeckt.

Der Leiter des neuen Kompetenzzentrums für IT-Sicherheit (CISPA) hat bereits am 20. Juni das Unternehmen Google über die als „lokale Cross-Site Scripting Attacke“ bezeichnete Schwachstelle informiert. Die Forscher um Prof Backes haben entdeckt, dass man über eine manipuliertes Android-App, die man zum Beispiel als Computerspiel tarnen kann, Zugriff auf das Betriebssystem der Smartphones erhalten kann und dadurch Cookies anderer Sessions aus dem Android-Browser stehlen kann. Dadurch ist es wohl auch möglich sich Zugriff auf den Android Market zu verschaffen und so weitere Schadsoftware nachzuladen oder sensible Informationen auszuspähen, Gespräche aufzuzeichnen oder gefälschte Mails zu versenden.

Besonders kritisch sei bei dieser Sicherheitslücke die Tatsache, dass die Anwendung im Gegensatz zu üblichen Angriffen keine besonderen Rechte benötige und die Manipulation am Gerät selbst für den Laien nur schwer zu erkennen sei, da der Eindringling kaum Datenspuren hinterließe. „Wenn man weiß, an welcher Stelle man den Hebel ansetzen muss, ist es erschreckend einfach“, meint der Informatikprofessor. Er hofft nun, dass Google und betroffene Smartphone-Hersteller schnell das Sicherheits-Update auf den Markt bringen, damit kein weiterer Schaden entstehen kann.

Die Experten von Google haben inzwischen den Fehler im Android-Betriebssystem behoben. In Kürze sollen Updates für Android zur Verfügung stehen, mit denen Kunden dann die Sicherheitslücke auf ihren Handys schließen können. Allerdings nur, wenn die Anwender ein Original Google-Smartphone einsetzen oder die Anbieter wie HTC, Samsung, Motorola oder LG bzw. Mobilfunkprovider ein entsprechendes Update bereitstellen.

„Wie bei jeder Software empfehlen wir, angebotene Softwareupdates der Hersteller auf den Handys zu installieren. Damit kann man sicher gehen, dass die eigenen Geräte immer den aktuell höchst möglichen Sicherheitsstandard aufweisen“, sagt Michael Backes.

Der Informatiker, der auch eine Forschergruppe am Max-Planck-Institut für Softwaresysteme in Saarbrücken leitet, hat sich zum Ziel gesetzt, die IT-Sicherheit zu erhöhen und die Privatsphäre der Menschen in der digitalen Welt noch besser zu schützen. In dem neuen IT-Kompetenzzentrum CISPA, das vom Bundesforschungsministerium gefördert wird, will Backes dafür die breite Grundlagenforschung vorantreiben, aber auch Sicherheitstechnologien entwickeln. Ein Schwerpunkt wird außerdem sein, sichere und verlässliche Computersysteme und Netzwerke zu entwerfen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052591 / Sicherheitslücken)