Fake ID: Android Bug bei Zertifikatsüberprüfung kann Malware Zugriff auf sensible Daten geben

29. Juli 2014 Kategorie: Android, Backup & Security, Mobile, geschrieben von: Sascha Ostermaier

Wieder einmal wurde eine Sicherheitslücke entdeckt, wieder einmal im Android-System. Die Lücke ist nicht neu, sie besteht laut Bluebox Security seit Android 2.1, also Anfang 2010, wie ArsTechnica berichtet. Der Fake ID genannte Fehler ermöglicht die Umgehung der Sicherheits-Sandbox und in der Folge das Auslesen von Nutzerdaten, das Lesen von E-Mails, die Einsicht in Zahlungsvorgänge und weitere sensible Daten, die sich auf einem Android-Gerät befinden können.

FakeID

Bluebox Security nennt den Bug Fake ID, weil er ähnlich wie ein gefälschter Ausweis funktioniert. Der Fehler basiert auf dem Weg wie Android Krypto-Zertifikate verifiziert, oder eben auch nicht verifiziert werden, die mit jeder App auf dem Gerät landen. Normalerweise haben Apps nur Zugriff auf einen bestimmten Bereich in der Sandbox, können so nicht die Daten anderer Apps einsehen. Es gibt aber Ausnahmen. Adobe Flash kann zum Beispiel in jeder App als Plugin dienen, Google Wallet hat hingegen Zugriff auf die NFC-Hardware in einem Gerät.

Diese Rechte, die über das Zertifikat geregelt werden, kann sich aber auch jede andere App besorgen, wenn es sich als eine der entsprechenden Apps ausgibt. Malware könnte zum Beispiel ein ungültiges Zertifikat haben und sich als Flash ausgeben. Android überprüft die Gültigkeit des Zertifikats nicht korrekt und gibt der App die gleichen Rechte, die auch das Original hat. Ein etwaiger Trojaner kann dann auf dem Gerät machen, was er will, die Berechtigung dazu hat er von Android selbst erhalten.

Im Fall von Flash können seit Android 4.4 nicht mehr alle Informationen genutzt werden, die Lücke an sich besteht aber weiterhin, auch in der Developer Preview von Android L. In einer Stellungnahme äußert sich Google zu der Lücke und teilt mit, dass ein entsprechender Patch sowohl an die Android-Partner, als auch an das AOSP ausgeliefert wurde:

„We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.“

Wie man der Stellungnahme zudem entnehmen kann, wurde die Lücke nicht aktiv von Play Store Apps ausgenutzt und auch die Apps außerhalb des Play Stores, die von Google untersucht wurden, gaben keinen Hinweis auf eine Ausnutzung der Lücke.

Google erklärt allerdings nicht, wie die Lücke gestopft wurde, oder ob die Partner das Update erst noch ausliefern müssen. Angesichts der Tatsache, dass Drittanbieter-Apps, wie zum Beispiel von 3LM oder Microsoft, ebenfalls diese Sonderprivilegien erhalten können, gibt es keinen Grund, warum sich Malware nicht einfach als diese ausgeben können soll. Apps lassen sich mit dem Bluebox Scanner überprüfen.



Anzeige: Infos zu neuen Smartphones, Tablets und Wearables sowie zu aktuellen Testberichten, Angeboten und Aktionen im Huawei News Hub.

Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 7720 Artikel geschrieben.