Sicherheit

Android-Lücke leitet VPN-Verkehr um

Eine Sicherheitslücke von Android soll es Angreifern ermöglichen, den als sicher geltenden VPN-Verkehr heimlich umzuleiten und auszulesen.

Forscher haben eine Sicherheits-Lücke in Android 4.3 entdeckt. Nutzt ein User die vermeintlich sichere VPN-Verbindung auf seinem Smartphone oder Tablet, so könnten Angreifer den Datenstrom heimlich auf eine nicht-verschlüsselte Verbindung umlenken. Dazu brauchen sie nicht einmal Root-Rechte, sagen die Forscher und demonstrieren eine solche Umleitung zum Beweis in einem Video . Das Video zeigt den Vorgang auf einem Samsung Galaxy S4 - doch wollen die Forscher auch andere Geräte erfolgreich getestet haben.

Um die Lücke auszunutzen haben die Forscher eine schadhafte App programmiert. Sobald der Nutzer diese ausführt, können die Angreifer mitlesen. Mit der gleichen Lücke könne man auch SSL/TLS-Datenverkehr umleiten - doch dieser soll zumindest weiterhin verschlüsselt sein. Unter Android 4.4 haben die Forscher ihre VPN-Umleitung bislang nicht durchführen können. Google sei aber bereits benachrichtigt worden, versichern die Forscher. (PC Welt/mje)