Anzeige

Android: Janus-Sicherheitslücke erlaubte Angreifern Apps zu verseuchen, ohne deren Signatur zu verändern

Seit Anfang an fordert Android von App-Entwicklern, dass diese ihre Apps signieren. Beim Aktualisieren vergleicht Android die Signatur des Updates mit der der App und stellt so sicher, dass auch nur die richtige Software ihren Weg auf euer Smartphone findet. Modifizierte APK sollten daher keine Chance haben, sich installieren zu können. Sollten… Ein Sicherheitsunternehmen aus Belgien konnte nun aber eine Schwachstelle innerhalb von Android finden, die eben genau das doch zugelassen hat.

Unter dem Namen „Janus“ bekannt, ermöglicht es die Lücke, dass Angreifer die unberührte APK mit einer modifizierten DEX-Datei abändern können. Dies ändere nichts an der eigentlichen Signatur. Die Installation wird erlaubt und der Code aus dem DEX-Header kann loslegen. Das Problem ist hier außerdem, dass damit im Grunde ALLE Apps als eine Art Trojanisches Pferd herhalten könnten. Auch jene, die wirklich umfangreiche Berechtigungen von eurem Smartphone bekommen.

Das betroffene Signatur-Schema ist jedoch bereits von Android 7.0 ersetzt worden, was bedeutet, dass aktuellere Smartphones nur noch dann gefährdet wären, wenn sie Apps installieren, die noch nicht mit der neuen Methode signiert worden sind. Die Schwachstelle wurde Google bereits am 31. Juli 2017 mitgeteilt und mit dem aktuellen Dezember-Sicherheitspatch geschlossen. Auch der von Android Police betriebene APKMirror (den wir hier auch regelmäßig als Quelle für Apps nutzen) wurde bereits entsprechend abgesichert, heißt es. Außerdem haben Prüfungen ergeben, dass nicht eine einzige bisher über den Mirror verteilte App durch Janus modifiziert wurde.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Benjamin Mamerow

Nordlicht, Ehemann und Vater, hauptberuflich mit der Marine verbündet. Außerdem zu finden auf Twitter. PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.