zurück zum Artikel

Schwachstellenscanner spürt Android-Lücken auf

Auf einem Google Galaxy Nexus mit Ice Cream Sandwich wird X-Ray nicht fündig.

Das kostenlose Sicherheitstool X-Ray [1] klopft ein Android-Smartphone auf eine Reihe von Sicherheitslücken ab, durch die Malware an höhere Rechte gelangen kann (Privilege Escalation). Dass solche Lücken vorhanden sind, ist dabei sehr wahrscheinlich: Laut Google [2] ist nur auf rund 10 Prozent aller Geräte eine halbwegs aktuelle und sichere Betriebssystemversion (4.0 und höher) installiert. Entwickelt wurde das Tool der Firma Duo Security [3], die Smartphone-Sicherheitsexperte Jon Oberheide mitbegründet hat.

Nach einem Tap auf "X-Ray my device!" ("Röntge mein Gerät!") überprüft das Tool, ob und welche Exploits auf dem Smartphone erfolgreich wären. In einem ersten Test wurde der Schwachstellenscanner auf einem brandneuen Samsung Galaxy beam [4] mit Android 2.3.6 auch prompt fündig; mit dem Gingerbreak-Exploit [5] kann sich hier laut X-Ray jede beliebige App Root-Rechte verschaffen. Ändern kann man in einem solchen Fall jedoch nichts daran, da der Hersteller derzeit kein Update auf eine aktuelle Android-Version anbietet.

Aus diesem Grund sollte man X-Ray auch nicht als Sicherheitstool für Endanwender oder gar als Alternative zum Virenscanner verstehen. Vielmehr ist es ein Wachrüttler für Smartphone-Hersteller und -käufer, der auf ein nicht mehr ganz neues Problem aufmerksam macht: das Fehlen sicherheitsrelevanter Betriebssystemupdates. Die Entwickler der App fertigen nach eigenen Angaben anonymisierte Statistiken über die auf den Smartphone-Modellen gefundenen Schwachstellen an. Mit deren Hilfe wollen sie in Zukunft Druck auf die Netzbetreiber ausüben, damit sich diese eine Lösung für das zugrunde liegende Problem einfallen lassen.

Anders als in der Windows-Welt setzen die Programmierer von Android-Malware bislang vor allem noch darauf, dass die Smartphone-Besitzer die Schadsoftware selbst installieren. Dazu wird der Schädling etwa als bekanntes Spiel wie Angry Birds getarnt und über alternative Download-Portale oder Warez-Foren verteilt. Der Exploit kommt erst anschließend zum Einsatz, um etwa mit Root-Rechte tief greifende Änderungen am System durchzuführen. Unter Windows werden Exploits auch zur initialen Infektion des Systems genutzt; etwa wenn das potenzielle Opfer eine speziell präparierte Webseite besucht (Drive-by). (rei [6])


URL dieses Artikels:
http://www.heise.de/-1649950

Links in diesem Artikel:
[1] http://www.xray.io/
[2] http://developer.android.com/about/dashboards/index.html
[3] http://www.duosecurity.com
[4] https://www.heise.de/meldung/Samsung-bringt-Beamer-Phone-nach-Deutschland-1574420.html
[5] https://www.heise.de/meldung/Beschleunigungssensor-spioniert-Smartphone-Tastatur-aus-1326115.html
[6] mailto:rei@heise.de