Android: Hersteller-Zertifikate geleakt

In die Android-Update-Welt wird zeitnah Bewegung kommen. Angreifer oder interne Quellen aus Unternehmen haben Zertifikate von Herstellern wie Samsung, Mediatek und LG öffentlich gemacht. Diese Zertifikate werden verwendet, um System-Apps auf Android-Builds zu signieren, böswillige Angreifer könnten nun selbst ihre Malware signieren und das System würde diesen Apps erhöhte System-Rechte gewähren.

Mittlerweile findet man schon einen Schwung dieser Apps im Netz. Laut Google haben Samsung und andere betroffene Unternehmen seit Bekanntwerden des Problems bereits Abhilfemaßnahmen ergriffen, um die Auswirkungen zu minimieren.

Es ist nicht bekannt, welche aktuellen Android-Geräte, wenn überhaupt, noch anfällig für diese Sicherheitslücke sind. Wie immer gilt hier der Rat, dass man seine Apps aus vertrauenswürdigen Quellen beziehen sollte. Wer weiter in das Thema einsteigen möchte, findet bei Android-Spezialist Mishaal Rahman Ausführungen, auch der Google-Mitarbeiter ?ukasz Siewierski geht auf das Thema ein.

AngebotBestseller Nr. 3
Bose Sport Earbuds – Vollkommen Kabellose In-Ear-Kopfhörer –...
Bose Sport Earbuds – Vollkommen Kabellose In-Ear-Kopfhörer –...
Kabellose Bluetooth In-Ear Ohrhörers von Bose – für Bestleistungen entwickelt
−74,96 EUR 124,99 EUR

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. vertrauenswürdige Quelln – schön und gut. Aber wer sind die? Nur die eigenen App-Stores? Auf jeden Fall wohl keine alternativen App-Stores – da entzieht sich ja alles noch viel mehr der Überwachung durch die Betriebssystemhersteller. Von daher kann ich nicht verstehen warum es immer wieder Kreise gibt die eine Öffnung solcher geschlossenen Systeme verlangen. Das beste wäre: eigenen App-Store schließen bis ein Sicherheitsupdate ausgerollt ist… in dieser Zeit den eigenen , stillgelegten Store nach Malware durchforsten und die entfernen . Dann wieder einschalten. Wer sich inzwischen durch Side-Loads oder andere maßnahmen sein Gerät infiziert hat ist
    – erstens selber Schuld und zweitens
    – sollte privatrechtlich haften, wenn durch seine Unachtsamkeit Dritten Schaden entsteht.
    Ich könnte mich damit anfreunden wenn wie bei iOS auch bei PCs der Sack immer mehr „zugemacht“ wird. Wenn das von den OS- und App-Store- herstellern und -Betreibern verantwortungsvoll gemacht wird könnte das die Sicherheit in der IT erhöhen. Ich gebe offen zu: ich bin kein IT-Experte , ich nutze Technik um damit zu arbeiten, mich unterhalten zu lassen , zu kommunizieren. Was „unter der haube“ vorgeht verstehe ich nicht und erhebe auch gar nicht den Anspruch adas zu wollen. Ein „hacking“ wäre dann durch mich so unverantwortlich als würde ich an meiner Hauselektrik herumbasteln. Auch da hafte ich wenn jemand dadurch zu Schaden käme und sei es nur weil ich einen SchuKo-Stecker verkerht verdrahtet hätte. Selbiges sollte für IT in Privathand gelten: endlich geschlossene Systeme a la chromeBook. Das reicht für Otto und Emma Normalverbraucher und überfordert sie auch nicht mit Detailwissen. Ja, ich nehme mich, um das nochmal zu betonen , da nicht aus und würde den Deibel tun mein iOS z. B. durch ein jailbreak kaputtzumachen. Side-Loads oder jailbreaks kann man vielleicht jurristisch nicht verbieten, also strafbar machen, aber im Privatrecht sollte hier eindeutig festgehalten werden daß jeder der sowas macht voll haftbar für alle Schäden ist die daraus entstehen, und zwar nicht nur ihm selbst sondern auch Dritten.

    • Aber das ist doch auch schon immer so. Wenn du von deinem PC oder Smartphone (unwissentlich) Malware verschickst und die bei jemand anderem Schaden verursacht dann haftest du.

    • Wenigstens gibst du zu nicht die Ahnung zu haben aber forderst trotzdem. Bei Apple ist das auch nur eine gefühlte Sicherheit wie immer wieder rauskommt. Auch die Hauseigenen Stores sind nicht von Schund verschont. Daher ist die Quelle relativ. Der Hauptakteur sitzt immer noch vor dem Gerät. Weiterhin nimmt nichts den gesunden Menschenverstand ab.

    • Das ist Nonsens. Die Signierung war schon immer keine gute Lösung, schon 2x nicht mit den mangelnden Updates, da hat Google es einfach schon lange im Voraus verkackt.
      Offene Plattformen, die die Apps bereitstellen, sind zudem wichtig. In den verdongelten Stores kommt es ja immer wieder vor, dass Apps nicht mehr funktionieren, Funktionen ändern oder sogar verschwinden. Da ist es gut offene Plattformen mit allen App Versionen zu haben.

  2. Also quasi Open Source verbieten. Bravo.

  3. Das hat man von properitären Anwendungen. Hoffentlich wird in Zukunft noch viel mehr geleakt, insbesondere Zertifikate und Schlüssel zum Entsperren der Bootloader. Hersteller, die keine Möglichkeit zum Entsperren eben jener geben haben einen negativen Einfluss auf die Gesellschaft und alles was an Schaden auf sie zukommt verdient.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.