Neuer großer Bug in Android entdeckt, Fix in 4.4 (KitKat) enthalten

Im Juli wurde ein Bug in Android bekannt, der fast alle Geräte angreifbar machte. Google kümmerte sich schnell um einen Fix, die Hersteller haben sich aber Zeit gelassen, diesen auch auszuliefern. In Android 4.4 entdeckte Saurik, vor allem bekannt durch den alternativen App Store Cydia für iOS, einen Patch für eine ähnliche Lücke, die durch Android 4.4 geschlossen wird.

android-robot-peek

[werbung] Dadurch, dass der Fix erst in Android 4.4 auftaucht, heißt dies automatisch, dass er in vorherigen Versionen existent ist. Also praktisch auf allen im Umlauf befindlichen Android-Geräten (die handvoll ausgelieferte Nexus 5 mal ausgeschlossen). Wieder einmal muss der Nutzer also auf ein schnelles Update hoffen, wird in den meisten Fällen aber wohl eher länger warten, oder das Update nie bekommen.

Saurik hat seinen eigenen Patch für die Masterkey-Exploits im Cydia Impactor entsprechend aktualisiert, so dass man auch diese Lücke selbst patchen kann (wenn man es denn kann, das wird wohl nichts für jeden Nutzer sein). Alternativ kann man auf Android 4.4 warten, entweder als Hersteller-Update oder über eine Custom ROM. Der Bug war Google übrigens seit Juli bekannt, hatte aber anscheinend keine Priorität, sodass man diesen erst mit der aktuellen Android-Version in Angriff genommen hat.

Die genauen Hintergründe des neuen Bugs erklärt Saurik ausführlich in einem langen Blog-Post, inklusive Beispielen zur Ausnutzung des Fehlers und dem entsprechende Fix. Wer etwas davon versteht, wird da sicher schlauer.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

19 Kommentare

  1. Und warum steht hier nicht was denn den Bug so groß und böse macht? Anschuldigungen und großes Tamtam in allen Ehren, aber dann wenigstens bitte auch mit Erklärung. Von nem Technikblog erwarte ich eigentlich nicht, dass er am Ende sogar noch zugibt, vom eigentlichen Problem gar keine Ahnung zu haben.

  2. Dustin Klein says:

    Also in meinen Augen passt es doch. Er verlinkt doch zu Artikel (http://stadt-bremerhaven.de/android-sicherheitsluecke-soll-99-aller-geraete-betreffen/) wo bereits alles erklärt wird. Man muss ja nicht in jedem Folgepost alles aus dem Urpsrungspost wiederholen oder? Everybody be cool! You – be cool! 😉

  3. Hinweis: Der Patch von Saurik kann ueber Cydia Substrate (https://play.google.com/store/apps/details?id=com.saurik.substrate), nicht ueber Cydia Impactor, installiert werden. Der Cydia Impactor nutzt die Luecke nur, um an das Device zu rooten.
    Anleitung zum einspielen des Patchs:
    – Voraussetzung: gerootetes Android Device
    – Installiert Cydia Substrate: https://play.google.com/store/apps/details?id=com.saurik.substrate
    – Startet Cydia Substrate und waehlt „Link Substrate Files“ (hier sind Root-Rechte noetig)
    – Rebootet Euer Device
    – Startet Cydia Substrate unw waehlt „Open Cydia Gallery“
    – Ladet und installiert „Cydia Backport“

  4. Wenn da etwas dran ist (der schreibt recht schwammig und erwähnt ja selbst das sie schwächer ist als damals), dann dürfte dies ebenso wie damals über den PlayStore erkannt werden können. Das spielt dann wohl eher in China, wo es keinen PlayStore gibt, oder auf Amazon Geräten eine Rolle.

  5. Geiler Artikel (wie eigentlich fast immer bei Sascha)…
    „Wer etwas davon versteht, wird da sicher schlauer.“ – der Autor scheint sich da vermutlich auszunehmen, sonst stünde hier im Artikel was dazu – zumal die Quelle auf Englisch ist und das nicht jeder beherrscht.

  6. @Markus Genau das meine ich. Ich verstehe nämlich nicht wirklich wo das genaue Problem ist und hätte bei dem Titel etwas mehr Aufklärung erwartet.

  7. Also was man sicher nicht abstreiten kann, ist, dass Sascha’s Artikel tatsächlich sehr oft sehr schwammig oder wage rüber kommen. Was man ihm auch vorhalten kann, ist, dass er wenig auf die eigentliche Problematik aus technischer Sicht eingeht und einfach nur einen Link platziert. Zumindest wohl vor dem Hintergrund, dass dies als Tech-Blog wahrgenommen wird, ist das sicher kritisierbar. Aber es ist lange kein Grund, ihn hier immer pauschal runter zu machen. Ich denke auch, dass dieser Blog inzwischen einige Non-Techies als Leser gewonnen hat. Und jeder, der an den Details interessiert ist, sollte sich sowieso anhand der zusätzlichen Quellen informieren und sich nicht allein auf hier wiederholte Worte verlassen – sonst kann man auch gleich bild.de lesen.

    Ich wünsche mir aber trotzdem, und das ist an Sascha gerichtet, dass hier zumindest die technischen Details kurz angerissen werden und entsprechend deutlicher darauf verwiesen wird, dass man in dem Link genauere Details findet. Diese Details hätten sicher im letzten Absatz noch in Form von 2-3 Sätzen Platz gefunden.

  8. ein hoch auf apples politik! 🙂

  9. „Dadurch, dass der Fix erst in Android 4.4 auftaucht, heißt dies automatisch, dass er in vorherigen Versionen existent ist.“
    — Das ist aber schön.

  10. Und Eric so „Android ist genauso sicher wie iOS“. Und alle lachten …

  11. Doch, man kann durchaus auf Herrn Ostermeier „runter machen“ – denn außer einer aufgeblasenen Überschrift, ein paar völlig verqueren Gedankengängen und einem Link, wo ich mich durch technisches Englisch quälen muss, steht – wieder mal – in dem Artikel nichts hilfreiches drin. Klar ist der eigentliche Vorwurf Herrn Knobloch zu machen, dass er Herrn Ostermeier immer noch im Schreiber-Team hat.

    Also bitte: Nochmals den Artikel schreiben, diesmal aber mit konkreten technischen Hintergründen (wie ist die Lücke auszunutzen, welche Voraussetzungen, wie patchen) oder es einfach sein lassen.

  12. @ich: 100% agree

  13. Zumal der Artikel auch wieder mit heißer Nadel gestrickt scheint. Tippfehler sind das eine (und m.E. vernachlässigbar), grobe Ausdrucksschwächen aber schon recht… peinlich:

    „In Android 4.4 entdeckte Saurik […] einen Patch für eine ähnliche Lücke, die durch Android 4.4 geschlossen wird.“ Ungelenk und pleonastisch.
    „Dadurch, dass der Fix erst in Android 4.4 auftaucht, heißt dies automatisch, dass er in vorherigen Versionen existent ist.“ Bezugsfehler, hier ist der Bug gemeint, es wird aber grammatikalisch auf den Fix refereriert.
    Mir ist klar, dass ich jetzt wie der Anführer der kleinkarierten Klugscheißer wirken mag… :-/

  14. also irgendwas passt hier doch nicht? wenn der bug erst in android 4.4 endteckt wurde (seit juli? kitkat gibts doch offiziel erst seit n paar tagen mit dem nexus 5) wie kann er dann in 4.4 schon gefixt sein?

  15. @schebberle Der Bug wurde in 4.4 gefixed nicht gefunden.. im verlinkten Blog-Artikel ist die Rede von 3(!) nicht 2 Bugs (#8219321, #9695860 und #9950697). Der Artikel geht im wesentlichen um den dritten Bug. Der erste Bug (#8219321) wurde ausserdem bereits im Februar entdeckt, und, um Google Zeit für den Fix zu lassen, erst im Sommer veröffentlicht.

  16. Allerdings frage ich mich gerade woher die „Bug-Nummern“ kommen.. Die Issues auf der AOSP-Seite gehen bis 61775 (https://code.google.com/p/android/issues/list). Weiss das zufällig jemand?

  17. Ich denke gegen Kritik allgemein hat Sascha genauso wenig wie Carsten selbst. Zumindest so lange sie konstruktiv ist. Und das ist sie in Saschas Fall leider selten, was mich an seiner Stelle kalt lassen würde.

    Ich versuche es daher mal mit konstruktiver Kritik.
    Der Name ‚Master Key Exploit‘ sowie die Nummer des bei Google eingereichten Bugs hätten dem Beitrag gut getan. Das ist das Mindeste.
    Gut von Sascha wäre es gewesen, sich ein paar Minuten Zeit zu nehmen und zumindest diese Begriffe selbst zu googeln, mit dem Ziel, deutschsprachige Infos zu finden, die dann optimaler Weise im Beitrag hätten einfließen können.
    So finde ich es zum Beispiel in dem Zusammenhang nicht unerheblich, dass einige Entwickler von Custom ROMs an einem Fix arbeiten bzw. diesen bereits in ihre ROMs haben einfließen lassen oder bereits gepatched haben. Hier wäre unter Umständen sogar eine direkte Anfrage bei den Entwicklern möglich.
    Weiterhin hat meine Suche eine App von Bluebox zu Tage gefördert, die das eigene Smartphone auf die hier beschriebene Schwachstelle hin untersucht. Gut, davon wird sie nicht behoben, aber man weiß ob man betroffen ist oder nicht.

    Hier die dazu passenden Links:

    Betrifft den Fix des Master Key Bugs bei Custom ROMs:
    http://www.leecher.to/f123/android-sicherheitsluecke-master-key-gefixed-fuer-alle-1045911/

    App von Bluebox, die das eigene Smartphone nach dem Master Key Exploit scannt (Google Play Store):
    https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner&hl=de

    Allerdings bin ich zugegebenermaßen reichlich überrascht, dass ich bei Androidpit auf die Schnelle dazu gar keine Infos gefunden habe (bis auf einen Link zur Bluebox-App im eigenen App Store)… Oder die benutzen dort sonst nirgends die Begriffe ‚Master Key Exploit‘ und die Fehlernummer des Bugs.

    PS: Es geht mir hier in meinem Kommentar übrigens um ausschließlich deutschsprachige Infos, deren Fehlen kritisiert wurde.

    PPS: Dass Saschas Formulierungen gelegentlich etwas flapsig daher kommen, mag etwas ungelenk wirken, aber manch (destruktiven) Kommentar dazu ist keines Falls besser.

  18. Sascha Ostermaier says:

    @icancompute: Hätten wir hier ein Kommentar-Bewertungssystem, mein +1 hättest Du. Der Master Key Exploit ist im ersten Satz verlinkt, von Anfang an. Richtig, er ist nicht an der Stelle namentlich genannt, mein Fehler. Eine Suche nach Master Key hier im Blog hätte aber alle Fragen beantwortet (bis auf die aktuelle Bug-Nummer). Deutschsprachig.

    Falsch ist, dass mich Kritik kalt lässt (egal wie bescheuert sie teilweise formuliert ist). Richtig ist wiederum, dass ich darauf kaum noch eingehe, weil es mir einfach zu blöd ist, auf dieser Ebene eine Konversation zu führen. Wie sagt Caschy immer so schön: Besserwisser gibt es viele, Bessermacher kaum.

  19. Sebastian Smarslik says:

    Toll, ich hab das Galaxy Nexus und das bekommt wegen Google’s Faulheit nie Android 4.4.
    -.-