Android-Sicherheitslücke soll 99% aller Geräte betreffen

Eine potentielle Sicherheitslücke soll es möglich machen, bis zu 99% aller auf dem Markt verfügbaren Android-Smartphones angreifbar zu machen. Diese Sicherheitslücke, entdeckt von Bluebox Security, soll die unbemerkte Manipulation von Geräten erlauben, inklusive Auslesen der Passwörter und die Fern-Administration – quasi alles, was man mit dem Gerät so machen kann. Dieses geschieht durch das Einspielen / Ersetzen von Apps, die vom System als nicht schadhaft erkannt werden, laut Bluebox Security ein Fehler, der bereits seit Android 1.6 Donut existent ist.

android-robot-peek

[werbung]

Normalerweise verfügen Apps über kryptographische Signaturen, sodass Veränderungen am System oder den Apps vom System erkannt werden müssten. Bluebox Security ist es nun gelungen, Apps so zu verändern, dass sie vom System dennoch als legitime App erkannt werden. So ist es möglich, dem Benutzer ein verändertes Programm unterzujubeln, welches Schadcode enthält. Kurzes Beispiel: gestern schrieb ich darüber, dass der Hersteller des Twitter-Clients Falcon Pro seine App nur noch über eine Seite anbietet, nicht aber über den Google Play Store. Würde seine Datei auf dem Server gegen eine böswillige ausgetauscht, dann würde dieses keiner merken. Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.

Warum ich eingangs von einer potentiellen Sicherheitslücke schrieb? Zuerst einmal müsste der Angreifer den Benutzer dazu bringen, eine dieser modifizierten Apps einzuspielen. Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein, doch der technisch versierte Benutzer muss nun abwägen und gut überlegen, woher er seine APK-Dateien bezieht.

So gibt es neben dem Google Play Store zum Beispiel in Asien jede Menge Alternativ-Stores für Apps. Ein großes Problem sollen demnach auch System-Apps sein, die von Anbietern wie Motorola, LG, Samsung, HTC und Co vorinstalliert worden sind. Sie verfügen unter Umständen über weitreichende Systemrechte, sodass eine Manipulation sofort weitreichende Folgen haben kann.

Kurzform: reguläre Apps haben eine Signatur, die verändert wird, wenn eine nicht autorisierte Veränderung vorliegt. Bluebox Security hat nach einigen Aussagen einen Weg gefunden, diese Signaturen trotz Veränderung der Datei valide bleiben zu lassen. Der Bug Nummer 8219321 wurde bereits an das Google-Team weitergeleitet.

Die Frage ist nun natürlich, wie es weitergeht. Wer ein aktuelles Smartphone hat, der wird vielleicht mit dem nächsten Update bedient, sodass die Sicherheitslücke geschlossen ist – alle anderen müssen Vorsicht walten lassen. Wer sein Gerät im normalen Zustand benutzt, hat wahrscheinlich nichts zu befürchten, da die Option „Fremden Quellen zulassen“ standardmäßig deaktiviert ist und so keine APK-Dateien aus anderen Quellen installiert werden können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

42 Kommentare

  1. Ich nehme an, dass sicherheitssoftware die veränderten Signaturen auch nicht erkennen kann, richtig?

  2. Die Signaturen werden ja anscheinend nicht verändert.

  3. Schöne freie Android-Welt

  4. Caschy das heisst ich werde demnaechst Deine APK-Vorschlaege nicht mehr installieren … 😉

  5. „Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein […]“

    Bumms, aus, fertig!
    Wer sich Apps aus anderen Quellen installiert hat schon immer fahrlässig gehandelt. Ob da nun irgendein Schlüssel valide ist, oder nicht.

  6. Jürgen Pfeffer says:

    @Patrick: Sie ist schön! Lieber Sicherheitslücken und dafür Freiheit.

  7. Ich als Android-Nutzer sage: diesbzgl. fährt man mit Apple definitiv besser – diese Android-Updatepolitik der Hersteller war und wird immer ein Problem sein

    • Leider ist das ein Trugschluss, iOS ist da nicht viel besser… Nur kann ich bei Android selber entscheiden, etwas anders zu machen als es das System vorsieht…

  8. Analogkäse says:

    „…und die Fern-Administration – quasi alles“
    #PRISM

  9. Finde es nicht so tragisch, da es nur Apps außerhalb des Google Play Stores betrifft.
    Und davon installier ich ganz selten mal eine.

  10. Jürgen Pfeffer das ist doch keine Freiheit mehr, wenn man bei jedem knopfdruck oder Befehl Angst haben muss, dass das Handy kompromittiert werden kann.

    • Doch. Dass man sich informiert und hoffentlich weiß, was man tut, gehört ebenso zur Freiheit, wie Desinformation sie verhindert.

  11. Man hofft bei diesen Meldungen ja immer, dass Google endlich mal anfängt es richtig zu machen: z.B. könnte man Android so konzipieren, dass ein Hersteller nur noch eine sehr dünne Platformschicht schreiben muss, an die sich das CoreOS binär(also zur Laufzeit, nicht zur Linkzeit!) anbindet. Dann könnte das CoreOS leicht per OTA geupdated werden. Solche Konzepte existieren seit Jahrzehnten, aber noch immer werfen wir mit Monolithen um uns. Traurig.

  12. So ein Quatsch, mit Apple fährt man besser!?
    Die Updatepolitik bestimmt noch immer der Nutzer!
    Die meisten Nutzer benutzen wie es sich gehört den Market. Wer das nicht tut handelt auf eigenes Risiko und sollte wissen was er tut.
    Apple ist für diejenigen besser die zu dämlich sind mit Freiheit umzugehen.
    Diese Panikmache nervt, wenigstens Blog’s sollten mehr als Bildniveau bieten.

  13. @Schefti: Bist du eigentlich irgendwie dehydriert oder so? Wo ist das Panikmache?

  14. Danke Schefti genau meine Meinung, nutzt das Android Device so wie es gedacht ist zumindest als nicht versierter User! Wer sein iPhone jailbreakt und aus Cydia Apps installiert, geht auch ein Sicherheitsrisiko ein!

  15. Morgen,
    Panik? Wo? Mal im Ernst der gröste Teil der Android User geht wenn über den Google Play Store. Zweitens, werden doch relativ wenig Apps geladen und gekauft. Oder hat sich das inzwischen signifikant geändert. Viele nehmen das Gerät so wie im Laden um die Ecke gekauft – fertig. Und für viele Otto-Normal-User ist ein Smartphone Overdrive. De Telefonieren und schreiben SMS!?! ab und an nochma ….?
    ansonsten – es scheint sich tatsächlich die Geschichte zu wiederholen nur diesmal heist es nicht Windows, sondern Android. Der Preis der Freiheit und Flexibilität.

  16. Hallo? Wir haben NSA-BND-FBI-Vollüberwachung, das ist eine 100%-Sicherheitslücke.

    So lange die offen ist, sind alle anderen „Sicherheitslücken“ belanglos.

    („Sicherheitslück“ ist irgendwie auch ein Fall für neusprech.org)

  17. Oliver Kötter says:

    Ich setze nur Cyanogenmod ein und gehe davon aus, dass die Lücke dort bald behoben wird, war in der Vergangenheit jedenfalls immer so. Und CM ist wie Android sein sollte, komplett OS mit dessen Vorteilen.

  18. Ich finde es gut das darauf hingewiesen wird. Wer sich damit auskennt und es besser weiß kann ja die Info abhaken. Aber danke an Cashy das du darauf nochmal hinweist.
    Einen schönen Tag euch allen und ärgert euch nicht so. 😉

  19. @Schefti: es gibt noch die Abgrenzung zwischen Sensibilisierung (also das Aufmerksammachen auf Missstände, Probleme,etc.), sodass man sich drauf einstellen kann etwas zu verändern und Panikmache. Ersteres setzt vorraus, dass man auch sein eigenes Handeln (Sicherheitsdenken) überdenkt und seinen Grips einschaltet. Und genau das möchte Caschy mit diesem Artikel bezwecken und nichts anderes.

  20. Keine Sorge, Bluebox Security hat einfach nur die NSA Hintertür gefunden! Die gehört dahin und wurde von Google absichtlich programmiert! Es ist alles in Ordnung! Bitte gehen Sie weiter, es gibt hier nichts zu sehen!… 😉

  21. Gibt es immer noch diese unsäglichen Apple-Android-Prügeleien?! Wie lange gibts die Systeme jetzt? 6-7 Jahre? Leute kommt mal klar.

  22. Prügeleien gabs schon immer, wie lange gibts die Menschen?… 😉

  23. AutomatiX says:

    „Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.“
    Das ist mir nicht ganz klar. Wie kann eine App eine andre APK ändern oder auf andere Systemdateien zugreifen? Laufen die Apps nicht in einer Sandbox und können nur über die entsprechenden Permissions auf Schnittstellen zugreifen? Dann muss es ja eine Android Permission geben die Änderungen an den Apps/Systemdateien zulässt, was aber meiner Meinung nach nur mit Root möglich sein dürfte.

  24. Christoph says:

    @Automatix:
    Das Szenario stelle ich mir in etwa so vor. Jmd lädt sich von sonstwo die Schadapp „TiXXengucken.apk“ runter und installiert die. Diese App guckt sich lokal die Sigs der Apps an, um diese dann weiterzumelden. Das nächste Ziel der App wäre es, den User dazu zu bewegen sich eine zweite App zu installieren. Diese wiederum überschreibt irgendne app, die alles darf (mit root Rechten) Die neue App erbt automatisch die Root Rechte, da Android ja nicht merkt, dass es sich um ne neue App handelt.
    Von nun an wäre keinerlei Interaktion mehr nötig, um apps auszutauschen oder das Tele komplett auszulesen.

  25. Wer von Warez Seiten läd ist selber Schuld. Zumindest wenn man nicht in Asien lebt, gibt es keinen Grund APKs zu installieren. Wer APKs direkt installiert musste schon immer vorsicht walten lassen, da brauchts den Bug nicht zu.

    Betroffen sind vermutlich eher 9 statt 99% der Android Nutzer. In meinem Freundeskreis bin ich vermutlich einer der Wenigen die APKs direkt installieren.

  26. Finde, ist schon interessant und gut zu wissen, was so mit Android los ist. Mich würde ja mal interessieren, ob die Lücke auch in Custom ROMs wie CM zu finden ist. Würde jetzt mal tippen: Ja.
    Angst habe ich deshalb keine. Frage mich nur, ob Google das schon wusste und einfachheitshalber ignoriert hat. Aber selbst wenn: Da werden sich wohl weder Hersteller noch Provider nachträglich die Mühe machen, für ihre samt und sonders angepassten Androidversionen einen Patch zu veröffentlichen. Wäre zum einen zu viel Aufwand und zum Anderen will man ja eh lieber neue Geräte verkaufen. Schade für die, die noch alte Geräte haben und nicht auf Custom ROMs setzen, wo zumindest eine Chance auf Ausbesserung im Nachhinein besteht.

  27. Wieder so eine „ganz schlimme, tödliche Sicherheitslücke“, die nur der fahrlässige Nutzer sich einfangen kann.

  28. Wo das Panikmache ist? ^^‘ Eine App kann natürlich weder andere Apps verändern, noch auf deren Daten zugreifen….solange sie keine root-Rechte hat.

  29. Welche Geräte sind eigentlich die 1% nicht betroffenen? Und warum?

  30. @Konrad
    Es gibt noch Geräte die auf 1.5 laufen 😉

  31. Problematisch wird diese Sicherheitslücke leider erst recht, wenn die Angreifer es auf Anwendungen abgesehen haben, die von den Geräteherstellern programmiert wurden und besonders weitreichende Zugriffsrechte im Android-System haben.

    Ich habe ebenfalls in meinem Blog darüber berichtet und hoffe, dass Google und die übrigen Hersteller mit einem weitreichenden Patch antworten.

  32. LinuxMcBook says:

    @caschy: Ich stimme Schefti schon ein bisschen zu. Die Entwarnung, dass die Sicherheitslücke bei „normalen“ Smartphones nicht auftritt, erfolgt erst in der zweiten Hälfte deines Artikels. Vorher hört sich das alles schlimmer an, als es ist. „Potentiell“ zu schreiben, zählt leider nicht.
    Off-Topic: Kann man irgendwie generell Abos der Kommentare zustimmen oder muss das wirklich jedes Mal neu sein?

    @Mario K.
    „Wer von Warez Seiten läd ist selber Schuld. Zumindest wenn man nicht in Asien lebt, gibt es keinen Grund APKs zu installieren. Wer APKs direkt installiert musste schon immer vorsicht walten lassen, da brauchts den Bug nicht zu.“

    Selbst dort sollte man stutzig werden, wenn plötzlich das kostenpflichtige Navi xyz, von soundso runter geladen, keine Rechteabfrage beim Installieren anzeigt oder die SMS-Anwendung aktualisieren will…

  33. Problematisch ist an der Sache doch, dass man um z.B. den seriösen App-Store von Amazon nutzen zu können, die Einstellung in Android setzen muss, aus unbekannten Quellen Pakete installieren zu können.
    Ist nicht überhaupt die Möglichkeit alternative App Stores nutzen zu können, eines der Hauptvorteile von Android?

  34. Offenheit ist ein Feature und kein Bug. Wer irgendwelchen Müll aus dubiosen Quellen dem Internet installiert, ist selber Schuld. Grundsätzlich ist es aber gut, dass man frei installieren kann und nicht an den Google-Play-Store gebunden ist. Es gibt ja auch andere seriöse Quellen wie Amazon etc. Für das Problem mit den Signaturen erwarte ich aber dennoch Verbesserungen durch Android und die Gerätehersteller.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.