Android-Sicherheitslücke soll 99% aller Geräte betreffen
von caschy | 42 Kommentare
Eine potentielle Sicherheitslücke soll es möglich machen, bis zu 99% aller auf dem Markt verfügbaren Android-Smartphones angreifbar zu machen. Diese Sicherheitslücke, entdeckt von Bluebox Security, soll die unbemerkte Manipulation von Geräten erlauben, inklusive Auslesen der Passwörter und die Fern-Administration – quasi alles, was man mit dem Gerät so machen kann. Dieses geschieht durch das Einspielen / Ersetzen von Apps, die vom System als nicht schadhaft erkannt werden, laut Bluebox Security ein Fehler, der bereits seit Android 1.6 Donut existent ist.
[werbung]
Normalerweise verfügen Apps über kryptographische Signaturen, sodass Veränderungen am System oder den Apps vom System erkannt werden müssten. Bluebox Security ist es nun gelungen, Apps so zu verändern, dass sie vom System dennoch als legitime App erkannt werden. So ist es möglich, dem Benutzer ein verändertes Programm unterzujubeln, welches Schadcode enthält. Kurzes Beispiel: gestern schrieb ich darüber, dass der Hersteller des Twitter-Clients Falcon Pro seine App nur noch über eine Seite anbietet, nicht aber über den Google Play Store. Würde seine Datei auf dem Server gegen eine böswillige ausgetauscht, dann würde dieses keiner merken. Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.
Warum ich eingangs von einer potentiellen Sicherheitslücke schrieb? Zuerst einmal müsste der Angreifer den Benutzer dazu bringen, eine dieser modifizierten Apps einzuspielen. Ein Angriff via Google Play Store soll laut den Aussagen der Sicherheits-Experten nicht möglich sein, doch der technisch versierte Benutzer muss nun abwägen und gut überlegen, woher er seine APK-Dateien bezieht.
So gibt es neben dem Google Play Store zum Beispiel in Asien jede Menge Alternativ-Stores für Apps. Ein großes Problem sollen demnach auch System-Apps sein, die von Anbietern wie Motorola, LG, Samsung, HTC und Co vorinstalliert worden sind. Sie verfügen unter Umständen über weitreichende Systemrechte, sodass eine Manipulation sofort weitreichende Folgen haben kann.
Kurzform: reguläre Apps haben eine Signatur, die verändert wird, wenn eine nicht autorisierte Veränderung vorliegt. Bluebox Security hat nach einigen Aussagen einen Weg gefunden, diese Signaturen trotz Veränderung der Datei valide bleiben zu lassen. Der Bug Nummer 8219321 wurde bereits an das Google-Team weitergeleitet.
Die Frage ist nun natürlich, wie es weitergeht. Wer ein aktuelles Smartphone hat, der wird vielleicht mit dem nächsten Update bedient, sodass die Sicherheitslücke geschlossen ist – alle anderen müssen Vorsicht walten lassen. Wer sein Gerät im normalen Zustand benutzt, hat wahrscheinlich nichts zu befürchten, da die Option „Fremden Quellen zulassen“ standardmäßig deaktiviert ist und so keine APK-Dateien aus anderen Quellen installiert werden können.
Wird geladen ...
Gibt es immer noch diese unsäglichen Apple-Android-Prügeleien?! Wie lange gibts die Systeme jetzt? 6-7 Jahre? Leute kommt mal klar.
Prügeleien gabs schon immer, wie lange gibts die Menschen?… 😉
„Diese App wiederum könnte legitime Apps verändern, ohne dass das Android-System diesen Umstand feststellt.“
Das ist mir nicht ganz klar. Wie kann eine App eine andre APK ändern oder auf andere Systemdateien zugreifen? Laufen die Apps nicht in einer Sandbox und können nur über die entsprechenden Permissions auf Schnittstellen zugreifen? Dann muss es ja eine Android Permission geben die Änderungen an den Apps/Systemdateien zulässt, was aber meiner Meinung nach nur mit Root möglich sein dürfte.
@Automatix:
Das Szenario stelle ich mir in etwa so vor. Jmd lädt sich von sonstwo die Schadapp „TiXXengucken.apk“ runter und installiert die. Diese App guckt sich lokal die Sigs der Apps an, um diese dann weiterzumelden. Das nächste Ziel der App wäre es, den User dazu zu bewegen sich eine zweite App zu installieren. Diese wiederum überschreibt irgendne app, die alles darf (mit root Rechten) Die neue App erbt automatisch die Root Rechte, da Android ja nicht merkt, dass es sich um ne neue App handelt.
Von nun an wäre keinerlei Interaktion mehr nötig, um apps auszutauschen oder das Tele komplett auszulesen.
Wer von Warez Seiten läd ist selber Schuld. Zumindest wenn man nicht in Asien lebt, gibt es keinen Grund APKs zu installieren. Wer APKs direkt installiert musste schon immer vorsicht walten lassen, da brauchts den Bug nicht zu.
Betroffen sind vermutlich eher 9 statt 99% der Android Nutzer. In meinem Freundeskreis bin ich vermutlich einer der Wenigen die APKs direkt installieren.
Finde, ist schon interessant und gut zu wissen, was so mit Android los ist. Mich würde ja mal interessieren, ob die Lücke auch in Custom ROMs wie CM zu finden ist. Würde jetzt mal tippen: Ja.
Angst habe ich deshalb keine. Frage mich nur, ob Google das schon wusste und einfachheitshalber ignoriert hat. Aber selbst wenn: Da werden sich wohl weder Hersteller noch Provider nachträglich die Mühe machen, für ihre samt und sonders angepassten Androidversionen einen Patch zu veröffentlichen. Wäre zum einen zu viel Aufwand und zum Anderen will man ja eh lieber neue Geräte verkaufen. Schade für die, die noch alte Geräte haben und nicht auf Custom ROMs setzen, wo zumindest eine Chance auf Ausbesserung im Nachhinein besteht.
Wieder so eine „ganz schlimme, tödliche Sicherheitslücke“, die nur der fahrlässige Nutzer sich einfangen kann.
Wo das Panikmache ist? ^^‘ Eine App kann natürlich weder andere Apps verändern, noch auf deren Daten zugreifen….solange sie keine root-Rechte hat.
Welche Geräte sind eigentlich die 1% nicht betroffenen? Und warum?
@Konrad
Es gibt noch Geräte die auf 1.5 laufen 😉
Problematisch wird diese Sicherheitslücke leider erst recht, wenn die Angreifer es auf Anwendungen abgesehen haben, die von den Geräteherstellern programmiert wurden und besonders weitreichende Zugriffsrechte im Android-System haben.
Ich habe ebenfalls in meinem Blog darüber berichtet und hoffe, dass Google und die übrigen Hersteller mit einem weitreichenden Patch antworten.
@caschy: Ich stimme Schefti schon ein bisschen zu. Die Entwarnung, dass die Sicherheitslücke bei „normalen“ Smartphones nicht auftritt, erfolgt erst in der zweiten Hälfte deines Artikels. Vorher hört sich das alles schlimmer an, als es ist. „Potentiell“ zu schreiben, zählt leider nicht.
Off-Topic: Kann man irgendwie generell Abos der Kommentare zustimmen oder muss das wirklich jedes Mal neu sein?
@Mario K.
„Wer von Warez Seiten läd ist selber Schuld. Zumindest wenn man nicht in Asien lebt, gibt es keinen Grund APKs zu installieren. Wer APKs direkt installiert musste schon immer vorsicht walten lassen, da brauchts den Bug nicht zu.“
Selbst dort sollte man stutzig werden, wenn plötzlich das kostenpflichtige Navi xyz, von soundso runter geladen, keine Rechteabfrage beim Installieren anzeigt oder die SMS-Anwendung aktualisieren will…
Problematisch ist an der Sache doch, dass man um z.B. den seriösen App-Store von Amazon nutzen zu können, die Einstellung in Android setzen muss, aus unbekannten Quellen Pakete installieren zu können.
Ist nicht überhaupt die Möglichkeit alternative App Stores nutzen zu können, eines der Hauptvorteile von Android?
Offenheit ist ein Feature und kein Bug. Wer irgendwelchen Müll aus dubiosen Quellen dem Internet installiert, ist selber Schuld. Grundsätzlich ist es aber gut, dass man frei installieren kann und nicht an den Google-Play-Store gebunden ist. Es gibt ja auch andere seriöse Quellen wie Amazon etc. Für das Problem mit den Signaturen erwarte ich aber dennoch Verbesserungen durch Android und die Gerätehersteller.