Sicherheitsforscher von Googles Project-Zero-Team haben eine schwere Lücke im mobilen Betriebssystem Android entdeckt. Der Fehler ermöglicht es Angreifern, das Gerät vollständig zu übernehmen, sofern der Nutzer zuvor eine schadhafte App aus einer nicht vertrauenswürdigen Quelle installiert hat. Ein Angriff über den vorinstallierten Chrome-Browser sei unter bestimmten Umständen ebenfalls möglich, schreiben die Experten. Alle Details finden Sie hier (englischsprachig).
Entdeckt wurde die Schwachstelle vermutlich von der NSO Group, einer bekannten Cybersicherheitsfirma aus Israel. Die Gruppe verkauft unter anderem an Regierungsorganisationen Tools, mit denen man sich Zugriff auf Smartphones verschaffen kann. Googles Angaben zufolge wird die Lücke bereits aktiv ausgenutzt, weshalb man beschlossen habe, nun alle Details offen zu legen und auf die übliche dreimonatige Geheimhaltungsfrist zu verzichten.
Die populärsten betroffenen Modelle (keine vollständige Liste):
- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Android Oreo LG-Smartphones
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
Das Google Pixel 3 und 3a sind Googles Sicherheits-Team zufolge nicht von der Schwachstelle betroffen. Auf den älteren Geräten des Herstellers soll die Lücke im Oktober geschlossen werden. Die anderen Hersteller wurden laut Google informiert - ob und wann Updates für die verschiedenen Modelle erscheinen, ist unklar.
In Panik verfallen sollten Besitzer der oben genannten Geräte dennoch nicht. Es ist relativ unwahrscheinlich, Ziel einer solchen Attacke zu werden. Wer dennoch auf Nummer sicher gehen möchte, sollte einen alternativen Browser als Chrome verwenden und auf die Installation von Apps, die außerhalb des Play Stores angeboten werden, verzichten.
