Die Schwachstelle in Android, die es erlaubt Apps unbemerkt eine App zu verändern – was eigentlich durch die Signatur von Apps verhindert werden soll – kann nun geschlossen werden. Zumindest haben die Hersteller einen entsprechenden Fix von Google erhalten.
Diese Schwachstelle betrifft alle Android-Versionen seit der 1.6 und damit bis zu 900 Millionen Geräte, darunter auch viele Devices, die von den Herstellern schon eine Weile nicht mehr mit Updates versorgt wurden, aber natürlich trotzdem noch benutzt werden. Ob und wann die einzelnen Hersteller ihren Kunden den Fix bereit stellen ist natürlich offen und eine Entscheidung, die jedes Unternehmen für sich trifft. Aber zumindest Samsung hat schon begonnen den Bugfix auszuliefern.
Aber selbst wenn nicht alle Geräte die Korrektur vom Hersteller bekommen ist das Risiko sich hier einen Trojaner einzufangen – zumindest bislang – wohl gering, aktuell wohl eher theoretisch, so sieht das zumindest Gina Scigliano von Google:
We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue – and Verify Apps provides protection for Android users who download apps to their devices outside of Play.
Bislang wird die Lücke also nach Erkenntnissen von Google nicht ausgenutzt und die anderen Sicherheitsvorkehrungen in Android sind nach Ansicht von Google ein ausreichender Schutz vor entsprechender Malware. Von der Installation von Apps aus fragwürdigen Quellen bleibt natürlich trotzdem und weiterhin abzuraten, aber das ist keine Frage des verwendeten Betriebssystems – diese Empfehlung gilt natürlich für alle Systeme und Geräte.