Brisant ist dabei vor allem, dass die kritische Sicherheitslücke bereits seit Längerem bekannt und in allen Android-Versionen seit 1.5 zu finden ist. Praktisch ist damit nahezu jedes Gerät mit dem Google-Betriebssystem angreifbar.

Remote-Steuerung über den Browser

Thomas Cannon, ein Mitarbeiter des IT-Sicherheitsunternehmens ViaForensics, demonstriert die Funktionsweise der Lücke in einem Video. Dort installiert er eine App, die anders als bei vielen Programmen unter Android üblich keine Rechte vom Nutzer abverlangt. Nichtsdestotrotz ist es dem Programm erlaubt, auf Funktionen des Browsers zuzugreifen und deshalb möglich, einen Server zu kontaktieren. Über diese Verbindung erhält Cannon anschließend Zugriff auf das Smartphone.

Im Video wird gezeigt, wie der Sicherheitsexperte auf das Dateisystem des Geräts zugreift, Apps steuert und Informationen über das System abruft. Dabei erhält er auch Zugriff auf zumindest einen Teil der sensiblen Daten, die auf Android-Geräten gespeichert werden. Denkbar wäre allerdings, dass sich Hacker über diese Hintertür Administrator-Rechte verschaffen und persönliche Daten so in deutlich größerem Umfang ausspähen können, als Cannon es demonstriert.

Google hat sich bislang nicht zu dem Problem geäußert und keine mögliche Lösung bekannt gegeben. Der beste Schutz gegen derartige Angriffe bleibt deshalb derzeit der Verzicht auf die Installation von Apps aus unbekannten Quellen.