Fake ID: Android Bug bei Zertifikatsüberprüfung kann Malware Zugriff auf sensible Daten geben

Wieder einmal wurde eine Sicherheitslücke entdeckt, wieder einmal im Android-System. Die Lücke ist nicht neu, sie besteht laut Bluebox Security seit Android 2.1, also Anfang 2010, wie ArsTechnica berichtet. Der Fake ID genannte Fehler ermöglicht die Umgehung der Sicherheits-Sandbox und in der Folge das Auslesen von Nutzerdaten, das Lesen von E-Mails, die Einsicht in Zahlungsvorgänge und weitere sensible Daten, die sich auf einem Android-Gerät befinden können.

FakeID

Bluebox Security nennt den Bug Fake ID, weil er ähnlich wie ein gefälschter Ausweis funktioniert. Der Fehler basiert auf dem Weg wie Android Krypto-Zertifikate verifiziert, oder eben auch nicht verifiziert werden, die mit jeder App auf dem Gerät landen. Normalerweise haben Apps nur Zugriff auf einen bestimmten Bereich in der Sandbox, können so nicht die Daten anderer Apps einsehen. Es gibt aber Ausnahmen. Adobe Flash kann zum Beispiel in jeder App als Plugin dienen, Google Wallet hat hingegen Zugriff auf die NFC-Hardware in einem Gerät.

Diese Rechte, die über das Zertifikat geregelt werden, kann sich aber auch jede andere App besorgen, wenn es sich als eine der entsprechenden Apps ausgibt. Malware könnte zum Beispiel ein ungültiges Zertifikat haben und sich als Flash ausgeben. Android überprüft die Gültigkeit des Zertifikats nicht korrekt und gibt der App die gleichen Rechte, die auch das Original hat. Ein etwaiger Trojaner kann dann auf dem Gerät machen, was er will, die Berechtigung dazu hat er von Android selbst erhalten.

Im Fall von Flash können seit Android 4.4 nicht mehr alle Informationen genutzt werden, die Lücke an sich besteht aber weiterhin, auch in der Developer Preview von Android L. In einer Stellungnahme äußert sich Google zu der Lücke und teilt mit, dass ein entsprechender Patch sowohl an die Android-Partner, als auch an das AOSP ausgeliefert wurde:

„We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.“

Wie man der Stellungnahme zudem entnehmen kann, wurde die Lücke nicht aktiv von Play Store Apps ausgenutzt und auch die Apps außerhalb des Play Stores, die von Google untersucht wurden, gaben keinen Hinweis auf eine Ausnutzung der Lücke.

Google erklärt allerdings nicht, wie die Lücke gestopft wurde, oder ob die Partner das Update erst noch ausliefern müssen. Angesichts der Tatsache, dass Drittanbieter-Apps, wie zum Beispiel von 3LM oder Microsoft, ebenfalls diese Sonderprivilegien erhalten können, gibt es keinen Grund, warum sich Malware nicht einfach als diese ausgeben können soll. Apps lassen sich mit dem Bluebox Scanner überprüfen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

15 Kommentare

  1. Niemals sensible Daten auf ein Google Phone

  2. Es ist leider immer eine Qual technische Artikel von @Sascha zu lesen. Könntet ihr solche Artikel nicht an jemanden wie Patrick der hier auch manchmal schreibt geben? Der versteht wenigstens worum es geht und übersetzt nicht einfach halbschlecht aus der Quelle (die im mobilen Design übrigens IMMER NOCH NICHT verlinkt ist @caschy, bitte fixen, das ist unfair gegenüber den Original Autoren). Ist mir jetzt schon öfter aufgefallen, bei technischen Artikeln ist ein wahnsinniges Wirrwarr zu lesen, dann liest man die Quelle durch und merkt dass es sich einfach um eine unbedarfte Übersetzung handelt…

  3. @Texmex

    Was meinst du? Auch in der mobilen Ansicht ist Ars Technica im zweiten Satz korrekt verlinkt.

  4. @Jo

    Absolut falsche Aussage, richtig ist: Niemals sensible Daten auf überhaupt irgendeinem Smartphone

  5. @TTX du hast recht….solche aussagen werden aber genährt wenn autoren schreiben…wieder mal android…das ist aber eben sascha live 🙂

  6. @Dirk: Ja. Leider.

  7. „Angesichts der Tatsache, dass Drittanbieter-Apps, wie zum Beispiel von 3LM oder Microsoft, ebenfalls diese Sonderprivilegien erhalten können, gibt es keinen Grund, warum sich Malware nicht einfach als diese ausgeben können soll.“
    Wie soll das gehen, wenn die Lücke gestopft ist?

  8. Sry, ist ein wenig OT: Ich wurde mit einem 7Zoll Tab und würde es begrüßen wenn ich immer die Mobile Ansicht dieser Seite sehen würde,..

  9. Wenn der Patch bereits verteilt wurde wann bekommen die Nexus Devices dann 4 4.5?

  10. Auf welchen 0.5% aller Devices wurde der Patch denn schon verteilt?

  11. @Dirk

    Das stimmt schon, ich lese hier schon sehr lange, von dem her weiß ich auch wie ich Posts von Sascha meistens bewerten muss (es gibt auch gute). Aber wenn es um etwas mehr Technik geht, ist es nicht so seins. Das Kommentar von Jo ist nur mal wieder der übliche „Bash“ 🙂

  12. @Jungs und Mädel,
    wie heist es so schön – besser machen. Vorallem wenn es um einen doch recht kompliziertes technisches Thema geht!

  13. Bjørn Max says:

    Bei mir zeigt der Scanner an es ist alles gefixt. 🙂

    Aber eigentlich ist es mehr als bedauerlich damit das Cyanogenmod Team den Bug eher gefixt hat als Google, aber war ja bei Heathbleed schon genauso.

  14. Peter Wurst says:

    Könnte jemand zusammenfassen, wie man sich diesen Trojaner jetzt genau einfängt?
    Durch installation von Drittanbieter Apps d.h. außerhalb des Playstores?
    Oder sind auch einige Apps aus dem Playstore betroffen?
    Oder auch durch simples surfen auf einer webseite oder öffnen eines links mit einem Android Device?

    Obwohl technikaffin hab ich immer noch nicht genau den Druchblick bei den mobilen OS und wie man sich genau infiziert. Bei Windows ist mir das sehr viel klarer.
    Ich installiere ausschließlich Apps aus dem Playstore und nur welche, die mehrere tsd Downloads haben und auch etwas bekannter sind. Mehr kann ich jetzt auch nicht tun.
    Danke für die Antwort.

  15. Ich möchte eigentlich nur
    wissen wie ich die Fake ID wieder los werde.