Digital Life
07.02.2019

Kritischer Bug: Android-Smartphones lassen sich mit Bilddatei übernehmen

Eine manipulierte PNG-Datei kann genutzt werden, um Schadsoftware einzuschleusen oder ein Android-Smartphone zu übernehmen, warnt Google.

Drei schwere Sicherheitslücken (CVE-2019-1986, CVE-2019-1987, CVE-2019-1988) ermöglichen es Angreifern, unbemerkt mithilfe von PNG-Bilddateien unter Android Schadsoftware einzuschleusen oder sogar vollständig die Kontrolle über das Gerät zu übernehmen. Das geht aus Googles aktuellem Android Security Bulletin hervor. Demnach sind Geräte ab Android 7.0 von der Sicherheitslücke betroffen, der aktuelle Sicherheits-Patch für Februar soll das Problem beheben.

Es ist unklar, ob die Sicherheitslücke bereits aktiv von Angreifern genutzt wurden. Laut Google liegen keinerlei entsprechende Berichte vor. Aus Sicherheitsgründen veröffentlichte man aber dennoch vorerst keine technischen Details, um Nachahmern die Arbeit zu erschweren. Das Problem dürfte Hacker News zufolge aber auf Fehler in Android-Komponenten zurückzuführen sein, die für die Darstellung von PNG-Dateien verantwortlich sind. Android-Nutzer sollten bei Verfügbarkeit rasch das Sicherheitsupdate installieren. 

Neben den drei PNG-Bugs hat Google mit dem aktuellen Sicherheits-Patch acht weitere als kritisch eingestufte Sicherheitslücken geschlossen. Insgesamt wurden 42 Sicherheitsprobleme behoben, darunter zahlreiche Hersteller-spezifische Bugs, beispielsweise bei Qualcomm- und Nvidia-Hardware.