Android: Janus-Sicherheitslücke erlaubte Angreifern Apps zu verseuchen, ohne deren Signatur zu verändern
Seit Anfang an fordert Android von App-Entwicklern, dass diese ihre Apps signieren. Beim Aktualisieren vergleicht Android die Signatur des Updates mit der der App und stellt so sicher, dass auch nur die richtige Software ihren Weg auf euer Smartphone findet. Modifizierte APK sollten daher keine Chance haben, sich installieren zu können. Sollten… Ein Sicherheitsunternehmen aus Belgien konnte nun aber eine Schwachstelle innerhalb von Android finden, die eben genau das doch zugelassen hat.
Unter dem Namen „Janus“ bekannt, ermöglicht es die Lücke, dass Angreifer die unberührte APK mit einer modifizierten DEX-Datei abändern können. Dies ändere nichts an der eigentlichen Signatur. Die Installation wird erlaubt und der Code aus dem DEX-Header kann loslegen. Das Problem ist hier außerdem, dass damit im Grunde ALLE Apps als eine Art Trojanisches Pferd herhalten könnten. Auch jene, die wirklich umfangreiche Berechtigungen von eurem Smartphone bekommen.
Das betroffene Signatur-Schema ist jedoch bereits von Android 7.0 ersetzt worden, was bedeutet, dass aktuellere Smartphones nur noch dann gefährdet wären, wenn sie Apps installieren, die noch nicht mit der neuen Methode signiert worden sind. Die Schwachstelle wurde Google bereits am 31. Juli 2017 mitgeteilt und mit dem aktuellen Dezember-Sicherheitspatch geschlossen. Auch der von Android Police betriebene APKMirror (den wir hier auch regelmäßig als Quelle für Apps nutzen) wurde bereits entsprechend abgesichert, heißt es. Außerdem haben Prüfungen ergeben, dass nicht eine einzige bisher über den Mirror verteilte App durch Janus modifiziert wurde.
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.