Vor einiger Zeit wurde berichtet, dass ein halbes Dutzend Sicherheitslücken in Android gefunden wurde, die alle Geräte mit diesem Betriebssystem dem Risiko von Privilege Elevation Attacken aussetzen. Diese neue Klasse von Sicherheitslücken erhöht die Zugangsberechtigungen bösartiger Apps beim Updaten von Android, ohne den Anwender darüber zu informieren. Weltweit gibt es über eine Milliarde Android-betriebene Geräte, die bisher als relativ sicher galten. Dies könnte sich mit den neuen Bugs ändern.

Forscher der Indiana Universität und Microsoft haben ein Papier veröffentlicht, das die neue Generation der Android-Sicherheitslücken als Pileup-Schwachstellen bezeichnet. „Pileup“ ist die Kurzform von privilege escalation durch das Updaten. Das 16-seitige Dossier geht detailliert auf das Thema ein. Updates sind relativ komplizierte und komplexe Vorgänge, die sorgfältig konfiguriert werden müssen, um Anwender-Daten oder vorhandene Apps nicht versehentlich zu beschädigen. Auch die Attribute und Privilegien in den Sandboxes müssen bei der Installation mit Bedacht eingestellt werden. Der ganze Prozess macht die Programmierungs-Logik um einiges komplizierter und dadurch anfällig für sicherheitsrelevante Lücken.

Die Forscher in Indiana bestätigten, dass die sechs unterschiedlichen Pileup-Schwachstellen innerhalb der Android-PMS in allen Android Open Source Projekt Versionen vorhanden sind, zusammen mit mehr als 3.500 angepassten Versionen von Android, entwickelt durch manuell eingestellte OEMs und andere Träger.

Die Forscher haben auch einen neuen Scanner vorgestellt. SecUp kann bösartige Apps, die auf den Geräten schlummern und auf elevated privileges warten, aufspüren. Der Scanner verifiziert den Quell-Code des PMS und identifiziert so mögliche Sicherheitsverletzungen.

Die Probleme sind bereits an Google gemeldet worden. Das Unternehmen konnte mittlerweile eine der sechs Sicherheitsschwachstellen patchen.

Artikel von zdnet.com, 23.03.2014: Android bugs leave every smartphone and tablet vulnerable to privilege escalation
Paper: Upgrading Your Android, Elevating My Malware: Privilege Escalation Through Mobile OS Updating