Android 4.3 und früher: Schlüsselspeicher KeyStore unsicher

Aufgrund einer Sicherheitslücke in Android 4.3 und früher können Angreifer unter Umständen gespeicherte Schlüssel oder das Passwort des Gerätes auslesen. Für Android 4.4 KitKat liegt bereits ein Patch vor.

Android 4.3 sowie frühere Versionen des Googles-OS sind von einer Sicherheitslücke betroffen, die es Angreifern unter Umständen ermöglicht, gespeicherte Schlüssel oder auch das Gerätepasswort zu entwenden. Das berichten Sicherheitsforscher von IBM. In Android 4.4 KitKat wurde die Anfälligkeit schon gepatcht.

Android 4.3 und früher: Schlüsselspeicher KeyStore unsicher

Dem Beitrag zufolge steckt der Fehler im sogenannten KeyStore-Dienst des Android-Betriebssystems, einem integrierten sicheren Speicher für Schlüssel. Laut den IBM-Mitarbeitern lässt sich das Sicherheitsleck mithilfe einer schädlichen App ausnutzen.

Allerdings müssen Angreifer dafür einige Sicherheitsvorkehrungen wie die Datenausführungsverhinderung (Data Execution Prevention, DEP) und Address Space Layout Randomization (ASLR) überwinden. Der KeyStore-Dienst starte allerdings automatisch neu, sobald er beendet wurde, heißt es weiter in dem Blogbeitrag. “Ein Angreifer könnte theoretisch sogar ASLR missbrauchen, um die Verschlüsselung zu umgehen.”

Neben gespeicherten Schlüsseln oder dem Passwort des Gerätes sei es auch möglich, entschlüsselte Master-Keys, Daten und hardwaregeschützte Schlüssel-Identifier aus dem Speicher auszulesen. Es ist sogar möglich, Daten aus dem Flash-Speicher zu entwenden, was bedeutet, dass auch ein ausgeschaltetes Gerät kompromittiert werden könnte.

Ob und wann Google ein Sicherheitsupdate für Android 4.3 und frühe Versionen veröffentlicht, geht aus dem Blogeintrag nicht hervor. Android 4.4 KitKat, die einzige sichere Android-Version, läuft aktuellen Zahlen zufolge erst auf rund 14 Prozent aller Android-Smartphones und –Tablets, womit mehr als 85 Prozent aller Android-Geräte anfällig wären.

Entdeckt wurde die Sicherheitslücke von dem Application Security Research Team bei IBM Security Systems schon vor neun Monaten. Am 9. September 2013 wurde dem Artikel zufolge das Android Security Team darüber informiert. Es habe den Fehler auch noch am selben Tag bestätigt. Ein Fix liege seit dem 11. November vor.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Android 4.3 und früher: Schlüsselspeicher KeyStore unsicher

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *