Android-Sicherheitslücke soll 99% aller Geräte betreffen
von caschy | 42 Kommentare
Eine potentielle Sicherheitslücke soll es möglich machen, bis zu 99% aller auf dem Markt verfügbaren Android-Smartphones angreifbar zu machen. Diese Sicherheitslücke, entdeckt von Bluebox Security, soll die unbemerkte Manipulation von Geräten erlauben, inklusive Auslesen der Passwörter und die Fern-Administration – quasi alles, was man mit dem Gerät so machen kann. Dieses geschieht durch das Einspielen / Ersetzen von Apps, die vom System als nicht schadhaft erkannt werden, laut Bluebox Security ein Fehler, der bereits seit Android 1.6 Donut existent ist.
[werbung]
Normalerweise verfügen Apps über kryptographische Signaturen, sodass Veränderungen am System oder den Apps vom System erkannt werden müssten. Bluebox Security ist es nun gelungen, Apps so zu verändern, dass sie vom System dennoch als legitime App erkannt werden. So ist es möglich, dem Benutzer ein verändertes Programm unterzujubeln, welches Schadcode enthält. Kurzes Beispiel: gestern schrieb ich darüber, dass der Hersteller des Twitter-Clients Falcon Pro seine App nur noch über eine Seite anbietet, nicht aber über den Google Play Store. Würde seine Datei auf dem Server gegen eine böswillige ausgetauscht, dann würde dieses keiner merken. Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.
Warum ich eingangs von einer potentiellen Sicherheitslücke schrieb? Zuerst einmal müsste der Angreifer den Benutzer dazu bringen, eine dieser modifizierten Apps einzuspielen. Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein, doch der technisch versierte Benutzer muss nun abwägen und gut überlegen, woher er seine APK-Dateien bezieht.
So gibt es neben dem Google Play Store zum Beispiel in Asien jede Menge Alternativ-Stores für Apps. Ein großes Problem sollen demnach auch System-Apps sein, die von Anbietern wie Motorola, LG, Samsung, HTC und Co vorinstalliert worden sind. Sie verfügen unter Umständen über weitreichende Systemrechte, sodass eine Manipulation sofort weitreichende Folgen haben kann.
Kurzform: reguläre Apps haben eine Signatur, die verändert wird, wenn eine nicht autorisierte Veränderung vorliegt. Bluebox Security hat nach einigen Aussagen einen Weg gefunden, diese Signaturen trotz Veränderung der Datei valide bleiben zu lassen. Der Bug Nummer 8219321 wurde bereits an das Google-Team weitergeleitet.
Die Frage ist nun natürlich, wie es weitergeht. Wer ein aktuelles Smartphone hat, der wird vielleicht mit dem nächsten Update bedient, sodass die Sicherheitslücke geschlossen ist – alle anderen müssen Vorsicht walten lassen. Wer sein Gerät im normalen Zustand benutzt, hat wahrscheinlich nichts zu befürchten, da die Option „Fremden Quellen zulassen“ standardmäßig deaktiviert ist und so keine APK-Dateien aus anderen Quellen installiert werden können.
Wird geladen ...
Ich nehme an, dass sicherheitssoftware die veränderten Signaturen auch nicht erkennen kann, richtig?
Die Signaturen werden ja anscheinend nicht verändert.
Schöne freie Android-Welt
Caschy das heisst ich werde demnaechst Deine APK-Vorschlaege nicht mehr installieren … 😉
„Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein […]“
Bumms, aus, fertig!
Wer sich Apps aus anderen Quellen installiert hat schon immer fahrlässig gehandelt. Ob da nun irgendein Schlüssel valide ist, oder nicht.
@Patrick: Sie ist schön! Lieber Sicherheitslücken und dafür Freiheit.
Ich als Android-Nutzer sage: diesbzgl. fährt man mit Apple definitiv besser – diese Android-Updatepolitik der Hersteller war und wird immer ein Problem sein
Leider ist das ein Trugschluss, iOS ist da nicht viel besser… Nur kann ich bei Android selber entscheiden, etwas anders zu machen als es das System vorsieht…
„…und die Fern-Administration – quasi alles“
#PRISM
Finde es nicht so tragisch, da es nur Apps außerhalb des Google Play Stores betrifft.
Und davon installier ich ganz selten mal eine.
Jürgen Pfeffer das ist doch keine Freiheit mehr, wenn man bei jedem knopfdruck oder Befehl Angst haben muss, dass das Handy kompromittiert werden kann.
Doch. Dass man sich informiert und hoffentlich weiß, was man tut, gehört ebenso zur Freiheit, wie Desinformation sie verhindert.
Man hofft bei diesen Meldungen ja immer, dass Google endlich mal anfängt es richtig zu machen: z.B. könnte man Android so konzipieren, dass ein Hersteller nur noch eine sehr dünne Platformschicht schreiben muss, an die sich das CoreOS binär(also zur Laufzeit, nicht zur Linkzeit!) anbindet. Dann könnte das CoreOS leicht per OTA geupdated werden. Solche Konzepte existieren seit Jahrzehnten, aber noch immer werfen wir mit Monolithen um uns. Traurig.
So ein Quatsch, mit Apple fährt man besser!?
Die Updatepolitik bestimmt noch immer der Nutzer!
Die meisten Nutzer benutzen wie es sich gehört den Market. Wer das nicht tut handelt auf eigenes Risiko und sollte wissen was er tut.
Apple ist für diejenigen besser die zu dämlich sind mit Freiheit umzugehen.
Diese Panikmache nervt, wenigstens Blog’s sollten mehr als Bildniveau bieten.
@Schefti: Bist du eigentlich irgendwie dehydriert oder so? Wo ist das Panikmache?
Danke Schefti genau meine Meinung, nutzt das Android Device so wie es gedacht ist zumindest als nicht versierter User! Wer sein iPhone jailbreakt und aus Cydia Apps installiert, geht auch ein Sicherheitsrisiko ein!
Morgen,
Panik? Wo? Mal im Ernst der gröste Teil der Android User geht wenn über den Google Play Store. Zweitens, werden doch relativ wenig Apps geladen und gekauft. Oder hat sich das inzwischen signifikant geändert. Viele nehmen das Gerät so wie im Laden um die Ecke gekauft – fertig. Und für viele Otto-Normal-User ist ein Smartphone Overdrive. De Telefonieren und schreiben SMS!?! ab und an nochma ….?
ansonsten – es scheint sich tatsächlich die Geschichte zu wiederholen nur diesmal heist es nicht Windows, sondern Android. Der Preis der Freiheit und Flexibilität.
Hallo? Wir haben NSA-BND-FBI-Vollüberwachung, das ist eine 100%-Sicherheitslücke.
So lange die offen ist, sind alle anderen „Sicherheitslücken“ belanglos.
(„Sicherheitslück“ ist irgendwie auch ein Fall für neusprech.org)
Ich setze nur Cyanogenmod ein und gehe davon aus, dass die Lücke dort bald behoben wird, war in der Vergangenheit jedenfalls immer so. Und CM ist wie Android sein sollte, komplett OS mit dessen Vorteilen.
Ich finde es gut das darauf hingewiesen wird. Wer sich damit auskennt und es besser weiß kann ja die Info abhaken. Aber danke an Cashy das du darauf nochmal hinweist.
Einen schönen Tag euch allen und ärgert euch nicht so. 😉
@Schefti: es gibt noch die Abgrenzung zwischen Sensibilisierung (also das Aufmerksammachen auf Missstände, Probleme,etc.), sodass man sich drauf einstellen kann etwas zu verändern und Panikmache. Ersteres setzt vorraus, dass man auch sein eigenes Handeln (Sicherheitsdenken) überdenkt und seinen Grips einschaltet. Und genau das möchte Caschy mit diesem Artikel bezwecken und nichts anderes.
Keine Sorge, Bluebox Security hat einfach nur die NSA Hintertür gefunden! Die gehört dahin und wurde von Google absichtlich programmiert! Es ist alles in Ordnung! Bitte gehen Sie weiter, es gibt hier nichts zu sehen!… 😉