Android: Janus-Sicherheitslücke erlaubte Angreifern Apps zu verseuchen, ohne deren Signatur zu verändern

Seit Anfang an fordert Android von App-Entwicklern, dass diese ihre Apps signieren. Beim Aktualisieren vergleicht Android die Signatur des Updates mit der der App und stellt so sicher, dass auch nur die richtige Software ihren Weg auf euer Smartphone findet. Modifizierte APK sollten daher keine Chance haben, sich installieren zu können. Sollten… Ein Sicherheitsunternehmen aus Belgien konnte nun aber eine Schwachstelle innerhalb von Android finden, die eben genau das doch zugelassen hat.

Unter dem Namen „Janus“ bekannt, ermöglicht es die Lücke, dass Angreifer die unberührte APK mit einer modifizierten DEX-Datei abändern können. Dies ändere nichts an der eigentlichen Signatur. Die Installation wird erlaubt und der Code aus dem DEX-Header kann loslegen. Das Problem ist hier außerdem, dass damit im Grunde ALLE Apps als eine Art Trojanisches Pferd herhalten könnten. Auch jene, die wirklich umfangreiche Berechtigungen von eurem Smartphone bekommen.

Das betroffene Signatur-Schema ist jedoch bereits von Android 7.0 ersetzt worden, was bedeutet, dass aktuellere Smartphones nur noch dann gefährdet wären, wenn sie Apps installieren, die noch nicht mit der neuen Methode signiert worden sind. Die Schwachstelle wurde Google bereits am 31. Juli 2017 mitgeteilt und mit dem aktuellen Dezember-Sicherheitspatch geschlossen. Auch der von Android Police betriebene APKMirror (den wir hier auch regelmäßig als Quelle für Apps nutzen) wurde bereits entsprechend abgesichert, heißt es. Außerdem haben Prüfungen ergeben, dass nicht eine einzige bisher über den Mirror verteilte App durch Janus modifiziert wurde.