Die von den Forschern "Fake ID" getaufte Lücke erlaubt es Apps, sich die Spezial-Rechte von Android-System-Programmen zu sichern und so aus der Sicherheits-Sandbox auszubrechen. Ähnlich wie ein Jugendlicher, der sich mit falschem Ausweis in einen Nachtclub schummelt.
Forscher der Sicherheitsfirma Bluebox Security haben ein Problem mit der Prüfung von App-Zertifikaten bei Android entdeckt. Dies erlaubt es bösartigen Apps, aus der Sicherheits-Sandbox des Betriebssystems auszubrechen. Das ist möglich, da bestimmte VIP-Apps unter Android legitimerweise die Sandbox umgehen dürfen, so zum Beispiel Adobes Flash Player. Ein Angreifer kann durch die Sicherheitslücke das Zertifikat so einer VIP-App fälschen und seiner bösartigen App die gleichen Rechte sichern. Installiert der Nutzer diese, kann die App auf dem Gerät machen, was sie will.
Hier können Sie die ganze Meldung auf heise-online lesen.
Quelle: heise