Warum Millionen von Android-Smartphones gefährdet sein könnten, so ein Google-Mitarbeiter

Soul Hackers 2 Erscheinungsdatum Ankuendigungstrailer enthuellt

Letzte Woche hat das Google-Sicherheitsteam Project Zero kürzlich eine schwerwiegende Schwachstelle bei Smartphones mehrerer Marken gemeldet, die die Mali-GPU von Arm verwenden, die für Millionen von Benutzern noch immer ungepatcht ist. Andere Google Ein Mitarbeiter hat eine weitere Android-bezogene Sicherheitslücke entdeckt, die Geräte betreffen kann. Lukasz Siewierskider Ingenieur bei Google ist, behauptet, dass ein Android Berichten zufolge ist das Zertifikat online durchgesickert. Das durchgesickerte Android-Zertifikat hat Millionen von Geräten einem Malware-Angriff ausgesetzt. Dieses Leck betrifft jedoch nicht alle Android-Benutzer mit Ausnahme einiger Samsung und LG-Geräte zusammen mit den Telefonen, die mit Strom versorgt werden MediaTek Chipsätze.
Wie sich das Android-Zertifikatsleck auf Geräte auswirkt
Siewierski hat berichtet, dass Zertifikate verschiedener Android-OEMs öffentlich veröffentlicht wurden und diese Schlüssel von Hackern verwendet werden können, um Malware auf Smartphones zu installieren. Der durchgesickerte Anmeldeschlüssel verfügt über erhebliche Betriebssystemrechte und Angreifer können ihn verwenden, um Malware einzuschleusen, ohne dass Google, der Hersteller des Geräts oder der App-Entwickler jemals davon erfahren.
Das bedeutet, wenn Benutzer App-Updates von einer Drittanbieter-Website installieren, können Hacker Malware einschleusen und sich als legitimes Update ausgeben. Angreifer können dieses App-Signaturverfahren verwenden, um einen Malware-Angriff zu initiieren und auf Systemberechtigungen zuzugreifen, um Benutzerdaten zu stehlen.
Eine der wichtigen Komponenten zum Schutz von Android-Geräten ist dieses App-Signaturprogramm. Dieser Prozess stellt sicher, dass Smartphones Software-Upgrades nur von seriösen Entwicklern erhalten. Um dies sicherzustellen, haben Entwickler einen eindeutigen Anmeldeschlüssel, der immer geheim gehalten wird, um eine zusätzliche Schutzebene hinzuzufügen.

Wie die Telefonhersteller versuchen, das Problem zu lösen
Das Android-Sicherheitsteam. hat die betroffenen Unternehmen bereits auf das Problem aufmerksam gemacht. Google hat außerdem vorgeschlagen, dass betroffene Unternehmen das „Plattformzertifikat ändern sollten, indem sie es durch einen neuen Satz öffentlicher und privater Schlüssel ersetzen“.
Laut einem Bericht von XDA Developers ist Samsung dieser Fehler schon länger bekannt und hat die Schwachstelle auch adressiert. Der südkoreanische Technologieriese hat Berichten zufolge erklärt, dass er „seit 2016 Sicherheitsfixes bereitgestellt hat, nachdem er auf das Problem aufmerksam gemacht wurde“. Das Unternehmen behauptete auch, dass es „keine bekannten Sicherheitsvorfälle in Bezug auf diese mögliche Schwachstelle“ gegeben habe.

toi-tech