Android Sicherheitsinfos 9.5.2016

Android macht ja immer wieder durch Sicherheitslücken Schlagzeilen. In diesem Blog-Beitrag fasse ich noch einige Sicherheitsmeldungen der letzten Tage zusammen, die irgendwie liegen geblieben sind.


Anzeige

Android N wird gegen "Stagefright"-Szenarien gehärtet

Android leidet an der ungenügenden Sicherheit des MediaServer, der im Rahmen der Stagefright-Lücke eine unfreiwillige Berühmtheit erlangte. Dessen Bibliotheken sind immer wieder Einfallstor für Stagefright-Exploits (siehe z.B. den Beitrag vom März Neue Stagefright-Angriffsmethode in Android gefunden).

In der kommenden Android-Version versucht Google das Betriebssystem gegenüber dieser Lücke zu härten. Hierzu "härtet" man den MediaServer, indem dieser in Komponenten zerlegt wird. Diese sollen sich durch feiner abgestufte Sandboxes besser absichern lassen. Den primär anfälligen Parsern werden die meisten Systemrechte entzogen und die Gefahren entsprechend erheblich reduziert. Details finden sich im Google Security-Blog. (via)

Qualcom-Bug gefährdet Millionen Android-Geräte

In einem Blog-Beitrag weisen Sicherheitsforscher von FireEye auf einen Bug CVE-2016-2060 hin, der Android-Geräte bis Android 4.3 seit 5 Jahren anfällig für Angriffe macht. Angreifer konnten die SMS-Datenbank oder den Verlauf der Telefongespräche abgreifen´(siehe auch diesen englischsprachigen Artikel).

Laut diesem Artikel hat Google jetzt diesen Bug im Rahmen des Mai 2016-Security Bulletins adressiert und stellt einen Patch bereit. Nexus-Geräte sind für diese Lücke nicht anfällig. Bleibt nur das Problem, dass ältere Android-Gerät meist kein Update über die Provider oder Hersteller mehr erhalten. 

Factory Reset Protection in Android 6.0.1 unsicher

Android-Geräte lassen sich ja auf Werkseinstellungen zurücksetzen, wenn man sich am Original Benutzerkonto (Google-Konto) anmeldet. Diese Option soll sich nicht bei geklauten Smartphones durch Dritte nutzen lassen. Dafür wurde in Android 5.1 die Funktion Factory Reset Protection eingeführt. In diesem Artikel wird darauf hingewiesen, dass sich diese Sicherheitsfunktion selbst noch bei Android 6.0.1 umgehen lässt. Das ist auch unabhängig, ob die neuesten Google Sicherheits-Updates von Mai 2016 installiert sind oder nicht.


Quelle: YouTube

Ähnliche Artikel
Neue Stagefright-Angriffsmethode in Android gefunden
Android und die Stagefright-Lücken: Nexus und Galaxy S4
Google fixt Stagefright 2.0-Lücke in Android


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.