Ein Fehler in allen Android-Versionen zwischen 4.0 und 4.3 (Codename „Jelly Bean") lässt eine bösartige App die Sicherheitssperren eines Smartphones aushebeln. Dies geht aus einem Beitrag auf “Threat Post“ hervor, der wiederum auf Erkenntnisse der Experten von Curesec zurück geht. Jelly Bean ist die derzeit meistverbreitete Version des Smartphone-Betriebssystems. In der aktuellen Version Android 4.4 ist die Schwachstelle laut Curesec nicht mehr zu finden.
Die Angriffsmöglichkeit geht auf die Art und Weise zurück, wie das Betriebssystem reagiert, wenn der Anwender eine der Sicherheitssperren verändern will. Android-Geräte bieten – je nach Modell und Softwarestand – PIN-Codes, Passwort, Gesichtserkennung oder eine Gesten-Erkennung zum Entsperren des Smartphones oder Tablets an. Will der User eine dieser Sperren ändern, wird er aufgefordert, sich mittels eines der anderen Mechanismen anzumelden. Eine bösartige App kann diesen Schritt überspringen und die anderen Sicherheitssperren ausschalten. Curesec hat eine solche App zur Demonstration programmiert.
Der Bug steckt in der Klasse “com.android.settings.ChooseLockGeneric”. Sie ist dafür zuständig, den Anwender die jeweilige Sicherheitssperre wählen zu lassen, die das Smartphone gegen fremden Zugriff sichern soll. Eine App könnte den Datenstrom kontrollieren, der feststellt, ob Android den Mechanismus aktiviert, der die Eingabe eines anderen Sicherheitscodes verlangt.
“Das Ergebnis: Jede Schad-App kann jederzeit alle bestehenden Sperren entfernen”, berichtet Curesec. Der Fehler wurde am 11. Oktober an das Android-Sicherheitsteam gemeldet. Die Sicherheitsexperten warnen, dass das Rechte-Modell in Android durch diesen Bug überwunden werden kann.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.