Die negative Publicity für Android-Geräte reißt nicht ab – nachdem in den vergangenen Wochen & Tagen bereits mehrere Lücken veröffentlicht wurden, haben Forscher nun eine neue schwerwiegende Sicherheitslücke entdeckt. Diesmal ist der Angriffspunkt nicht der Medien-Indizierungsdienst sondern liegt in einer Klasse des Open SSL-Zertifikats. Um die Lücke ausnutzen zu können muss eine präparierte App heruntergeladen werden, diese fordert allerdings keine besonderen Zugriffsrechte ein – was fälschlich Sicherheit beim Anwender vortäuscht. 

Auf dem Gerät installiert kann die entsprechende App eine Schwachstelle im „OpenSSLX509Certificate“ ausnutzen. Den Forschern von IBM gelang es so beliebigen Programmcode ausführen zu lassen – so konnten etwa App’s durch andere Anwendungen ersetzt werden und System-Einschränkungen konnten umgangen werden. Wie bereits bei den früheren Schwachstellen ist es äußert unwahrscheinlich, dass ältere Android-Geräte ein entsprechendes Update erhalten werden. Betroffen sind alle Geräte von der Android-Version 4.3 bis 5.1, auch die Preview-Version von Android M ist betroffen.