Android macht mit Schwachstellen Schlagzeilen

Gleich mit mehren Schwachstellen macht Googles Betriebssystem Android in den letzten Tagen Schlagzeilen.

Rechteübernahme durch Pileup

Laut Zdnet entdeckten zuerst Forscher der Indiana Universität in Zusammenarbeit mit Microsoft sechs sogenannte Pileup-Lücken (Privilege Escalation through updating). Eine schadhafte App reserviert sich dabei im Voraus bestimmte Nutzerrechte, die erst bei einem Update auf eine höhere Version wirksam werden. Dabei macht sich die Schadsoftware eine Schwäche bei der Rechtezuweisung während des Update-Vorgangs zunutze.

Die Forscher stellten gleichzeitig einen Scanner namens Secup zum Aufspüren der Schadsoftware vor. Google wurde über die Schwachstellen informiert und eine der Lücken soll bereits gepatched worden sein.

Reboot-Schleife

Heise berichtet über die Entdeckung eins Bugs durch den türkischen Android-Entwickler Ibrahim Balic, der Android in eine Reboot-Schleife zwingt.

Der Bug tritt auf, wenn der appname-Wert einer App auf über 387'000 Zeichen gesetzt wird. Bei einem Neustart von Android wird dann ein Fehler verursacht, der zu ständigen Reboots führt. Zur Beseitigung der fehlerhaften App muss im Extremfall das Gerät mit einen "Hardreset" zurückgesetzt werden, was den vollständigen Datenverlust zur Folge hätte.

Für kriminelle Zwecke eignet sich die Schwachstelle jedoch nur begrenzt, wie Heise schreibt. Es könne keine Kontrolle übernommen werden und es böte sich nur ein geringes Erpressungspotential.