Zitat:
Chinesische Blogger haben eine Sicherheitslücke im Android-Betriebssystem entdeckt, die eine ähnliche Wirkung haben soll wie die Schwachstelle, die vor zwei Wochen von der Firma Bluebox veröffentlicht wurde. Das Unternehmen hatte gezeigt, dass sich Androids App-Signaturprüfung austricksen lässt. Bereits installierte Apps können so manipuliert werden, dass Angreifer die Kontrolle über das Gerät erhalten – je nachdem, wie viele Rechte die manipulierte App inne hat. Auch durch die neue Sicherheitslücke kann man Androids-Signaturprüfung überwinden. Dies funktioniert über die Manipulation des Headers der APK-Datei. So kann man der App nachträglich Code hinzufügen, ohne dabei die Signatur ungültig zu machen. Beide Sicherheitslücken sollen mit dem CyanogenMod-Update auf die Version 10.1.2 behoben worden sein. Laut der australischen Website CIO ist auch Google schon tätig geworden und hat zumindest einen Patch für die Bluebox-Lücke entwickelt. Der soll aber bisher nur für das Samsung S4 ausgeliefert worden sein. Bluebox hatte die Lücke zunächst nur oberflächlich beschrieben und wollte die Schwachstelle bei der BlackHat-Konferenz ausführlich vorstellen. Dem Unternehmen ist allerdings ein Entwickler zuvorgekommen: Er veröffentlichte auf Grundlage des von Google entwickelten Patches einen beispielhaften Exploit. (kbe) |
Quelle: http://www.heise.de/newsticker/meldu...g-1917183.html
via WCM Forum http://www.wcm.at/forum/showthread.php?t=246545&goto=newpost
Aucun commentaire:
Enregistrer un commentaire