ses
Administrator
Teammitglied
- 35.780
Mitarbeiter der Firma Independent Security Evaluators haben in Android eine Schwachstelle identifiziert, die Angreifer dazu ausnutzen können, um auf Android-Handys ihren eigenen Code einzuschleusen und auszuführen.
Wer auf einem Android-Handy mit dem Browser im Internet unterwegs ist, könnte mithilfe bösartiger Webseiten angegriffen werden. Ein Hacker hätte so die Möglichkeit, eigenen Code auszuführen, um vom Browser genutzte Informationen von Cookies bis hin zu gespeicherten Passwörtern zu stehlen. In Android eingeschlichen hat sich die Lücke ISE zufolge mit einem der mehr als 80 Open-Source-Pakete. "Google hat nicht bei allen Paketen die aktuellsten Versionen genutzt", erklärt das ISE-Team von Charlie Miller, Mark Daniel und Jake Honoroff. Die Schwachstelle, die auch das bereits im freien Verkauf befindliche G1 betrifft, sei in der aktuellsten Version der entsprechenden Software-Komponente eigentlich behoben.
Experten-Lob erntet hingegen die Sicherheits-Architektur der Android-Plattform. Sie sei gut aufgebaut und reduziere so die Auswirkungen der Schwachstelle, so ISE. Denn mithilfe der Lücke können zwar Browser-Daten ausspioniert, aber keine vom Browser unabhängigen Funktionen abgerufen werden. "Das ist ein Unterschied beispielsweise zum iPhone. Letzteres hat kein vergleichbares Sandboxing-Feature und erlaubt bei Kompromittierung Zugriff auf alle Funktionalitäten, die dem User zur Verfügung stehen", meint das ISE-Team. Miller und Kollegen hatten im Juli 2007 auch das Aufdecken der ersten Sicherheitslücke im Apple-Handy für sich beansprucht.
Wer auf einem Android-Handy mit dem Browser im Internet unterwegs ist, könnte mithilfe bösartiger Webseiten angegriffen werden. Ein Hacker hätte so die Möglichkeit, eigenen Code auszuführen, um vom Browser genutzte Informationen von Cookies bis hin zu gespeicherten Passwörtern zu stehlen. In Android eingeschlichen hat sich die Lücke ISE zufolge mit einem der mehr als 80 Open-Source-Pakete. "Google hat nicht bei allen Paketen die aktuellsten Versionen genutzt", erklärt das ISE-Team von Charlie Miller, Mark Daniel und Jake Honoroff. Die Schwachstelle, die auch das bereits im freien Verkauf befindliche G1 betrifft, sei in der aktuellsten Version der entsprechenden Software-Komponente eigentlich behoben.
Experten-Lob erntet hingegen die Sicherheits-Architektur der Android-Plattform. Sie sei gut aufgebaut und reduziere so die Auswirkungen der Schwachstelle, so ISE. Denn mithilfe der Lücke können zwar Browser-Daten ausspioniert, aber keine vom Browser unabhängigen Funktionen abgerufen werden. "Das ist ein Unterschied beispielsweise zum iPhone. Letzteres hat kein vergleichbares Sandboxing-Feature und erlaubt bei Kompromittierung Zugriff auf alle Funktionalitäten, die dem User zur Verfügung stehen", meint das ISE-Team. Miller und Kollegen hatten im Juli 2007 auch das Aufdecken der ersten Sicherheitslücke im Apple-Handy für sich beansprucht.