Nun, gar so neu ist diese Lücke eigentlich nicht, sie ist seit September 2013 bekannt, wurde aber bisher nur in Android 4.4 geschlossen:

Mitarbeiter von IBM haben eine neue Sicherheitslücke in Android entdeckt. Sie steckt im KeyStore, einem in Googles Mobilbetriebssystem integrierten sicheren Schlüsselspeicher. Betroffen sind Geräte mit Android 4.3 und früher. Ein Patch liegt IBM zufolge bisher nur für Android 4.4 KitKat vor.

Laut Roee Hay, Leiter des Application Security Research Team bei IBM Security Systems, sind seine Mitarbeiter und er vor neun Monaten auf die Anfälligkeit gestoßen. Das Android Security Team sei am 9. September 2013 informiert worden und habe den Fehler noch am selben Tag bestätigt. Ein Fix liege seit dem 11. November vor.

“Angesichts der Android-Fragmentierung und der Tatsache, dass die Anfälligkeit eine Codeausführung erlaubt, haben wir entschieden, mit der Veröffentlichung ein wenig zu warten”, schreibt Hay in einem Blogeintrag. Allerdings läuft KitKat laut den aktuellen Zahlen von Google nur auf rund 14 Prozent aller Android-Geräte. Der Schlüsselspeicher kann also auf mehr als 80 Prozent aller Smartphones und Tablets mit Googles Mobil-OS weiterhin kompromittiert werden.

Weiter lesen