Android: Hersteller-Zertifikate geleakt
von caschy | 8 Kommentare
In die Android-Update-Welt wird zeitnah Bewegung kommen. Angreifer oder interne Quellen aus Unternehmen haben Zertifikate von Herstellern wie Samsung, Mediatek und LG öffentlich gemacht. Diese Zertifikate werden verwendet, um System-Apps auf Android-Builds zu signieren, böswillige Angreifer könnten nun selbst ihre Malware signieren und das System würde diesen Apps erhöhte System-Rechte gewähren.
Mittlerweile findet man schon einen Schwung dieser Apps im Netz. Laut Google haben Samsung und andere betroffene Unternehmen seit Bekanntwerden des Problems bereits Abhilfemaßnahmen ergriffen, um die Auswirkungen zu minimieren.
Es ist nicht bekannt, welche aktuellen Android-Geräte, wenn überhaupt, noch anfällig für diese Sicherheitslücke sind. Wie immer gilt hier der Rat, dass man seine Apps aus vertrauenswürdigen Quellen beziehen sollte. Wer weiter in das Thema einsteigen möchte, findet bei Android-Spezialist Mishaal Rahman Ausführungen, auch der Google-Mitarbeiter ?ukasz Siewierski geht auf das Thema ein.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
vertrauenswürdige Quelln – schön und gut. Aber wer sind die? Nur die eigenen App-Stores? Auf jeden Fall wohl keine alternativen App-Stores – da entzieht sich ja alles noch viel mehr der Überwachung durch die Betriebssystemhersteller. Von daher kann ich nicht verstehen warum es immer wieder Kreise gibt die eine Öffnung solcher geschlossenen Systeme verlangen. Das beste wäre: eigenen App-Store schließen bis ein Sicherheitsupdate ausgerollt ist… in dieser Zeit den eigenen , stillgelegten Store nach Malware durchforsten und die entfernen . Dann wieder einschalten. Wer sich inzwischen durch Side-Loads oder andere maßnahmen sein Gerät infiziert hat ist
– erstens selber Schuld und zweitens
– sollte privatrechtlich haften, wenn durch seine Unachtsamkeit Dritten Schaden entsteht.
Ich könnte mich damit anfreunden wenn wie bei iOS auch bei PCs der Sack immer mehr „zugemacht“ wird. Wenn das von den OS- und App-Store- herstellern und -Betreibern verantwortungsvoll gemacht wird könnte das die Sicherheit in der IT erhöhen. Ich gebe offen zu: ich bin kein IT-Experte , ich nutze Technik um damit zu arbeiten, mich unterhalten zu lassen , zu kommunizieren. Was „unter der haube“ vorgeht verstehe ich nicht und erhebe auch gar nicht den Anspruch adas zu wollen. Ein „hacking“ wäre dann durch mich so unverantwortlich als würde ich an meiner Hauselektrik herumbasteln. Auch da hafte ich wenn jemand dadurch zu Schaden käme und sei es nur weil ich einen SchuKo-Stecker verkerht verdrahtet hätte. Selbiges sollte für IT in Privathand gelten: endlich geschlossene Systeme a la chromeBook. Das reicht für Otto und Emma Normalverbraucher und überfordert sie auch nicht mit Detailwissen. Ja, ich nehme mich, um das nochmal zu betonen , da nicht aus und würde den Deibel tun mein iOS z. B. durch ein jailbreak kaputtzumachen. Side-Loads oder jailbreaks kann man vielleicht jurristisch nicht verbieten, also strafbar machen, aber im Privatrecht sollte hier eindeutig festgehalten werden daß jeder der sowas macht voll haftbar für alle Schäden ist die daraus entstehen, und zwar nicht nur ihm selbst sondern auch Dritten.
Aber das ist doch auch schon immer so. Wenn du von deinem PC oder Smartphone (unwissentlich) Malware verschickst und die bei jemand anderem Schaden verursacht dann haftest du.
Wenigstens gibst du zu nicht die Ahnung zu haben aber forderst trotzdem. Bei Apple ist das auch nur eine gefühlte Sicherheit wie immer wieder rauskommt. Auch die Hauseigenen Stores sind nicht von Schund verschont. Daher ist die Quelle relativ. Der Hauptakteur sitzt immer noch vor dem Gerät. Weiterhin nimmt nichts den gesunden Menschenverstand ab.
Dann zeige doch mal, wie man die Problematik anders lösen könnte. Awareness-Schulung und Handy-Führerschein?
Welche Problematik?
Das ist Nonsens. Die Signierung war schon immer keine gute Lösung, schon 2x nicht mit den mangelnden Updates, da hat Google es einfach schon lange im Voraus verkackt.
Offene Plattformen, die die Apps bereitstellen, sind zudem wichtig. In den verdongelten Stores kommt es ja immer wieder vor, dass Apps nicht mehr funktionieren, Funktionen ändern oder sogar verschwinden. Da ist es gut offene Plattformen mit allen App Versionen zu haben.
Also quasi Open Source verbieten. Bravo.
Das hat man von properitären Anwendungen. Hoffentlich wird in Zukunft noch viel mehr geleakt, insbesondere Zertifikate und Schlüssel zum Entsperren der Bootloader. Hersteller, die keine Möglichkeit zum Entsperren eben jener geben haben einen negativen Einfluss auf die Gesellschaft und alles was an Schaden auf sie zukommt verdient.