Android-Sicherheitslücke soll 99% aller Geräte betreffen

4. Juli 2013 Kategorie: Android, Backup & Security, geschrieben von:

Eine potentielle Sicherheitslücke soll es möglich machen, bis zu 99% aller auf dem Markt verfügbaren Android-Smartphones angreifbar zu machen. Diese Sicherheitslücke, entdeckt von Bluebox Security, soll die unbemerkte Manipulation von Geräten erlauben, inklusive Auslesen der Passwörter und die Fern-Administration – quasi alles, was man mit dem Gerät so machen kann. Dieses geschieht durch das Einspielen / Ersetzen von Apps, die vom System als nicht schadhaft erkannt werden, laut Bluebox Security ein Fehler, der bereits seit Android 1.6 Donut existent ist.

android-robot-peek

Normalerweise verfügen Apps über kryptographische Signaturen, sodass Veränderungen am System oder den Apps vom System erkannt werden müssten. Bluebox Security ist es nun gelungen, Apps so zu verändern, dass sie vom System dennoch als legitime App erkannt werden. So ist es möglich, dem Benutzer ein verändertes Programm unterzujubeln, welches Schadcode enthält. Kurzes Beispiel: gestern schrieb ich darüber, dass der Hersteller des Twitter-Clients Falcon Pro seine App nur noch über eine Seite anbietet, nicht aber über den Google Play Store. Würde seine Datei auf dem Server gegen eine böswillige ausgetauscht, dann würde dieses keiner merken. Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.

Warum ich eingangs von einer potentiellen Sicherheitslücke schrieb? Zuerst einmal müsste der Angreifer den Benutzer dazu bringen, eine dieser modifizierten Apps einzuspielen. Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein, doch der technisch versierte Benutzer muss nun abwägen und gut überlegen, woher er seine APK-Dateien bezieht.

So gibt es neben dem Google Play Store zum Beispiel in Asien jede Menge Alternativ-Stores für Apps. Ein großes Problem sollen demnach auch System-Apps sein, die von Anbietern wie Motorola, LG, Samsung, HTC und Co vorinstalliert worden sind. Sie verfügen unter Umständen über weitreichende Systemrechte, sodass eine Manipulation sofort weitreichende Folgen haben kann.

Kurzform: reguläre Apps haben eine Signatur, die verändert wird, wenn eine nicht autorisierte Veränderung vorliegt. Bluebox Security hat nach einigen Aussagen einen Weg gefunden, diese Signaturen trotz Veränderung der Datei valide bleiben zu lassen. Der Bug Nummer 8219321 wurde bereits an das Google-Team weitergeleitet.

Die Frage ist nun natürlich, wie es weitergeht. Wer ein aktuelles Smartphone hat, der wird vielleicht mit dem nächsten Update bedient, sodass die Sicherheitslücke geschlossen ist – alle anderen müssen Vorsicht walten lassen. Wer sein Gerät im normalen Zustand benutzt, hat wahrscheinlich nichts zu befürchten, da die Option „Fremden Quellen zulassen“ standardmäßig deaktiviert ist und so keine APK-Dateien aus anderen Quellen installiert werden können.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25484 Artikel geschrieben.