In einem gemeinsamen
Forschungspapier beschreiben Sicherheits-Experten der Indiana University und des Software-Konzerns Microsoft eine schwerwiegende Sicherheitslücke, die alle Android-Geräte betrifft. Angreifer könnten die “Pileup” (“Privilege Escalation through updating”) genannte Android-Schwachstelle nutzen, um Google-Konten zu kapern, Bankdaten zu stehlen oder Voice-Messages mitzuschneiden.
So funktioniert der Pileup-Angriff: Der Angreifer verbreitet eine Android-App, die Nutzerrechte einfordert, die es auf einer älteren Android-Version noch gar nicht gibt. Bei der App-Installation auf einem Smartphone oder Tablet mit solch einer veralteten Android-Version erscheint folglich auch keine Nachfrage, ob der Benutzer der Anwendung die entsprechenden Rechte einräumen will.
Wird später ein Update des Betriebssystems durchgeführt und auf eine Android-Version aktualisiert, die die entsprechenden Nutzerrechte kennt, dann werden der Schad-App die jeweiligen Rechte automatisch erteilt. Die Anwendung könnte folglich auf tiefgreifende Systemfunktionen zugreifen, ohne dass der Besitzer des Geräts darüber informiert wurde.
Die Sicherheits-Experten der Indiana University wollen im Android Package Management Service (PMS) insgesamt sechs verschiedene Pileup-Angriffsmöglichkeiten entdeckt haben. Ihrem Bericht nach sind die Schwachstellen in allen AOSP-Versionen (Android Open Source Project) sowie in über 3.500 angepassten Android-Versionen von Smartphone-Herstellern und Mobilfunkanbietern enthalten. Android-Nutzern raten die Forscher zur Installation ihrer Sicherheits-Software
Secure Update Scanner, die potentiell schädliche Apps auf dem Android-Gerät finden soll. Zudem wurde Google über die Schwachstelle informiert.