Kennen Sie Rabattwelt?
Deals & Gutscheine
shopwelt.de Newsletter?
Weitere Vergleiche

› KFZ-Versicherungen...
› Strom-Tarife...
› Gas-Tarife...
› DSL-Tarife...
› Mobilfunk-Tarife...

Chrome für Android: Zero-Day-Lücke ermöglicht Installation von Malware

Der chinesische Sicherheitsexperte Guang Gong, Mitarbeiter von Quihoo 360, hat auf der Sicherheitskonferenz PacSec in Tokio eine Zero-Day-Lücke in Chrome für Android vorgestellt.

Ohne Interaktion mit einem Nutzer kann eine speziell präparierte Website die vollständige Kontrolle über ein Android-Gerät übernehmen. Betroffen sind offenbar sämtliche Android-Varianten, auf welchen die neueste Chrome-Version ausgeführt wird, wie The Register berichtet.

Die Anfälligkeit demonstrierte Gong auf dem neuen Google Nexus 6. Es handele sich um einen einzelnen Exploit und nicht, wie sonst oft üblich, um eine Verkettung mehrerer Schwachstellen. „Viele Leute müssen heute mehrere Anfälligkeiten ausnutzen, um einen privilegierten Zugang zu erhalten und Software ohne Interaktion zu laden“, zitiert The Register Dragos Ruiu, den Organisator des Hackerwettbewerbs Pwn2Own Mobile, in dessen Rahmen Gong die Lücke vorstellte.

Sobald das Telefon auf die Website zugriff, wurde die Java-Script-V8-Anfälligkeit in Chrome benutzt, um eine beliebige App (in dem Fall ein Spiel) ohne jegliche Interaktion mit dem Nutzer zu installieren, was die vollständige Kontrolle über das Telefon demonstriert”, so Ruiu weiter. Da das Leck in der JavaScript-Engine stecke, sei offenbar jedes Android-Gerät angreifbar.

Die Zero-Day-Lücke wurde gemäß Bericht noch vor Ort von einen Google-Sicherheitsingenieur überprüft. Es ist nach Aussage von Ruiu sehr wahrscheinlich, dass Google an Gong eine Prämie bezahlt, da er die Details zu der Schwachstelle zurückgehalten hatte.

Zwei deutsche Sicherheitsexperten zeigten auf, dass mehrere Smartphones von Samsung über eine manipulierte Basisstation abgehört werden können. Die Lücke befindet sich offenbar in der Firmware des von Samsung entwickelten Baseband-Chips. Alle drei Sicherheitsforscher erhieltten eine Einladung zur Sicherheitskonferenz CanSecWest, die im März in Kanada stattfindet.

Gesponsert wurde der Wettbewerb in den letzten Jahren von der ehemaligen HP-Tochter Tipping Point sowie der HP Zero Day Initiative. Beide Unternehmen wurden kürzlich von Trend Micro für 300 Millionen gekauft. Bleibt abzuwarten, ob der neue Eigentümer weiterhin als Sonsor auftreten wird.

Fehler melden!
Artikel mit Freunden teilen
shopwelt.de - Team | 17.11.2015
Weitere interessante Artikel
Newsletter:
* Preise können sich seit der letzten Aktualisierung erhöht haben! Alle Preise inkl. MwSt.
© 2016 Copyright by eVendi GmbH & Co. KG