Google wirbt bei seinen Pixel-Smartphones mit hoher Sicherheit und langfristigen Software-Updates. Nun wurde jedoch eine Sicherheitslücke entdeckt, die seit 2017 in jeder Android-Version für Pixel-Geräte vorhanden zu sein scheint. Diese Lücke ermöglicht es Angreifern, die Kontrolle über das Gerät zu übernehmen. Das ist aber nicht ganz so einfach, wie es zunächst klingen mag.
Betroffenes App-Paket seit Jahren auf Pixel-Geräten mit ausgeliefert
Das Problem liegt in einem Softwarepaket namens „Showcase.apk“, das vom Unternehmen Smith Micro für Verizon entwickelt wurde. Obwohl es sich nicht um Google-Software handelt, ist es seit Jahren in jeder Android-Version für Pixel enthalten und verfügt über umfassende Systemberechtigungen.
Die Anwendung kann eine Konfigurationsdatei über eine unverschlüsselte HTTP-Webverbindung herunterladen, die von Angreifern manipuliert werden könnte, um die Kontrolle über das Gerät zu übernehmen.
Google wurde im Mai über die Sicherheitslücke informiert, hat aber noch keinen Fix veröffentlicht. Das Unternehmen plant, „Showcase“ in den kommenden Wochen mit einem Software-Update von allen unterstützten Pixel-Geräten zu entfernen. Die neuen Pixel 9-Geräte sind von der Lücke nicht betroffen.
Sicherheitslücke kann nicht ohne physischen Zugriff genutzt werden
Die Sicherheitsfirma iVerify, die die Lücke entdeckt hat, bezeichnet sie als „ziemlich beunruhigend“. Das Unternehmen Palantir, das mit iVerify zusammengearbeitet hat, hat aufgrund der langsamen Reaktion von Google alle Android-Geräte in seinem Unternehmen aus dem Verkehr gezogen.
Die Sicherheitslücke ist standardmäßig deaktiviert, was bedeutet, dass ein Angreifer zunächst die Anwendung auf dem Gerät eines Ziels aktivieren müsste, bevor er sie ausnutzen kann. Dies erfordert in der Regel physischen Zugriff auf das Telefon oder eine andere ausnutzbare Schwachstelle.
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. Info: *provisionierte Affiliate-Links.