GoogleWatchBlog

Android: Sicherheitslücke versetzt Smartphone in Neustart-Schleife

» Web-Version «

Der Entwickler Ibrahim Balic hat eine mittelschwere Sicherheitslücke in Android 4.0+ entdeckt, mit dem sich das Smartphones eines Nutzers unbrauchbar machen und in eine Endlosschleife versetzen lässt. Durch einen einfachen Eintrag in einer XML-Datei einer App, die der Nutzer natürlich aber vorher installiert haben muss, wird das Gerät endlos neu gestartet. Mit diesem Bug hat der Entwickler sogar den gesamten Play Store lahm legen können.


Die Sicherheitslücke befindet sich in der Datei strings.xml die in jeder Android APK-Datei enthalten ist und eigentlich Beschreibungstexte für die App enthält. Gibt man unter dem Eintrag „appname“ nun einen Wert mit mehr als 387.000 Zeichen ein wird vermutlich ein Overflow verursacht und das Smartphone startet sich daraufhin neu. Dabei ist es laut dem Entwickler vollkommen egal welcher Wert als Zeichenfolge eingetragen wird.

Diese Lücke lässt sich nun dafür ausnutzen um das Smartphone des Nutzers vorübergehend Schachmatt zu setzen. Die App könnte sich einfach in den Autostart setzen und so bei jedem Start des Smartphones geladen werden – woraufhin es dann aufgrund des Fehlers wieder neu startet. Ohne das Zurücksetzen des Smartphones hat der Nutzer dann keine Möglichkeit mehr diese Dauerschleife zu umgehen und hat nur noch einen teuren Ziegelstein.

Laut Trend Micro soll es sogar möglich sein diese Lücke zeitversetzt ausnutzen, wobei mir persönlich nicht ganz klar ist wie das funktionieren soll, da die strings.xml in der APK vorhanden ist. Von dem Bug sind alle Smartphones und Tablets mit Android 4.0 und höher betroffen, also derzeit so ziemlich jedes aktuelle Android-Smartphone auf dem Markt. Bisher hat Google noch keinen Bugfix für dieses Problem geliefert, möglicherweise wird aber der Play Store schon bald keine Apps mit diesem Merkmal mehr verteilen.


Um die von ihm entdeckte Sicherheitslücke zu testen hat Ibrahim Balic seine Test-App in den Play Store hochgeladen, und dabei den gesamten Upload-Prozess des Stores abgeschossen. Da dieser automatisiert jede hochgeladene App testet, wird auch dieses virtuelle Android in eine Dauerschleife zum Neustart gezwungen worden sein. Ganze zwei Tage soll es dann für Entwickler nicht möglich gewesen sein neue Apps in den Play Store hochzuladen.

» Beschreibung von Ibrahim Balic

[futurezone]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren