Forscher der North Carolina State University haben mehrere Sicherheitslücken in einigen weitverbreiteten Android-Smartphones entdeckt.
Diese Lücken versetzen Angreifer in die Lage Daten abzugreifen oder löschen,
SMS-Nachrichten zu versenden,
die Kommunikation abzuhören
oder eine Standortbestimmung des Andoroids vorzunehmen.
Verursacht wird diese Schwachstelle durch vorinstallierte Apps einiger Smartphone-Anbieter,
die sich nicht an das Android-Sicherheitskonzept halten.
Die Forscher hatten 8 Smartphones von 4 Herstellern untersucht:
Wildfire S, Legend und EVO 4G von HTC,
Motorola Droid und Droid X,
Samsungs Epic 4G
sowie Googles Modelle Nexus One und Nexus S.
Während die Wissenschaftler in ihrer Studie “Systematic Detection of Capability Leaks in Stock Android Smartphones” an Googles Referenzimplementierungen auf den Nexus-Modellen wenig zu beanstanden hatten, waren sie nach eigenen Angaben überrascht darüber, dass sich die herstellereigenen Implementierungen nicht an das rechtebasierte Sicherheitsmodell von Android hielten.
Die Schwachstellen entstehen überwiegend dadurch, dass installierte Apps ihre Rechte, wie zum Beispiel
den Zugriff auf lokale Daten, GPS- oder Mobile-Netze an andere Apps weiterreichen können.
Aufgrund der durch die Hersteller konfigurierten vorinstallierten Apps, werden andere Apps in die Lage versetzt, diese Rechte nutzen, ohne dass der Smartphonenutzer ihnen diese Rechte erteilt hat.
Von Google und Motorola haben die Forscher inzwischen eine Bestätigung der Schwachstellen erhalten, bei HTC und Samsung stießen sie dagegen auf Schwierigkeiten, die Erkenntnisse weiterzureichen.