Eine bereits vier Jahre alte Sicherheitslücke in Android sorgt aktuell für Schlagzeilen. Die nun von Bluebox Security aufgezeigte Schwachstelle soll 99 Prozent aller Endgeräte betreffen, darunter beispielsweise alle Nexus-Modelle. Die Lücke soll es ermöglichen, bereits vom System als einwandfrei eingestufte Programme zu manipulieren und so die Kontrolle über diese sowie das Smartphone oder Tablet zu erlangen.

Unter anderem sollen so Passwörter ausgelesen sowie das Gerät ferngesteuert werden können. Laut Bluebox gelangt der Schadcode über eine manipulierte APK-Datei auf das Gerät. Im nächsten Schritt manipuliert diese bereits vorhandene Programme, ohne dass die in Android integrierten Sicherheitsfunktionen dieses bemerken.

Denn die gefundene Lücke macht es möglich, Änderungen an signierten Applikationen, die über Google Play bezogen worden sind, ohne gleichzeitige Veränderungen der Signatur selbst vorzunehmen. Allerdings müssen Nutzer den Schädling selbst aufspielen, indem die Option „"Software aus fremden Quellen zulassen"“ aktiviert und genutzt wird; über Google Play verteilte Programme sind laut Bluebox Security nicht betroffen.

Ab Werk ist diese Option zwar auf allen Geräten deaktiviert, aber immer öfter sind Applikationen nur auf diesem Wege verfügbar, zuletzt nutzte Facebook sie für direkte Updates. Als besonders problematisch beschreiben die Entdecker die von den Geräteherstellern vorinstallierten eigenen Anwendungen. Diese würden in der Regel über sehr weitreichende Befugnisse verfügen, weshalb deren Manipulation durch die Schad-Software sehr große Schäden anrichten könne.

Den Fehler aufgezeigt hat Bluebox Security gegenüber Google bereits im Februar, für die Verteilung eines entsprechenden Sicherheits-Updates sind allerdings die Gerätehersteller selbst verantwortlich. Soweit bekannt ist, hat das Samsung Galaxy S4 eine entsprechende Auffrischung als einziges aktuelles Modell bereits erhalten, Stellungnahmen anderer Anbieter gibt es noch nicht.

Während nahezu alle Plattformen von mehr oder minder großen Sicherheitslücken betroffen sind, erschwert die Update-Philosophie bei Android deren Schliessen. Denn in vielen Fällen erhalten Smartphones und Tablets nach ein oder eineinhalb Jahren keine Updates mehr, das HTC One S ist hier nur das jüngste Beispiel.