Neue Android-Sicherheitslücke

Sicherheitsexperten haben eine neue Lücke im mobilen Betriebssystem Android entdeckt. Nahezu 99 Prozent aller Android-Geräte seien von der Lücke betroffen.

von IDG . 05.07.2013
Sicherheitslücke: Erst bei der offiziellen Galaxy S4 Firmware gefixt Sicherheitslücke: Erst bei der offiziellen Galaxy S4 Firmware gefixt Zoom Die Sicherheitsexperten von Bluebox Labs aus San Francisco warnen vor einer neu entdeckten Sicherheitslücke in Android. Von der Lücke seien alle seit Android 1.6 (Codename «Donut») in den letzten vier Jahren erschienenen Android-Geräte bedroht. Das wären immerhin mehr als 900 Millionen Geräte weltweit, wie Bluebox Labs in einem Blog-Eintrag warnt. 

Angreifer könnten die Lücke ausnutzen, um den Code einer Android-App-Installationsdatei (APK) zu manipulieren, ohne dabei deren kryptografische Signatur zu verändern. Jede legitime Applikation könne so mit einem Schädling ausgeliefert werden. Der Schaden, der durch diese Lücke angerichtet werden könne, sei immens. Vor allem, wenn man bedenke, dass die von Smartphone-Herstellern mit den Geräten mitgelieferten Apps mit sehr hohen Rechten ausgestattet seien.

Würde ein Angreifer eine solche Android-App eines Smartphone-Herstellers entsprechend unter Ausnutzung der entdeckten Lücke manipulieren und der Anwender diese App dann installieren, dann hätte der Angreifer die volle Kontrolle über das Gerät. Die Lücke ermögliche es Angreifern, nicht nur Daten zu stehlen, sondern auch ein mobiles Botnet zu schaffen.

Das Sicherheitsmodell von Android ist so aufgebaut, dass für jede installierte App vom System eine Sandbox eingerichtet wird, auf die nur die betreffende App Zugriff hat. Der Zugriff wird über die digitale Signatur der App überwacht. Diese digitale Signatur ändert sich auch nach einem Update der App nicht, sodass diese auch nach diesem Update weiterhin auf die Sandbox zugreifen darf. Die von Bluebox entdeckte Lücke erlaubt es also, einer bereits digital signierten App neuen – auch schädlichen – Code hinzuzufügen, ohne dass sich die digitale Signatur dabei ändert.

Bluebox Labs hat Google bereits im Februar über das Problem informiert und auch alle Mitglieder der Open Handset Alliance mit allen notwendigen Infos versorgt, um für ihre Geräte entsprechende Updates entwickeln zu können. Laut Bluebox Labs läge es an den Herstellern, nun die entsprechenden Updates für die Android-Geräte auszuliefern.

Beim Samsung Galaxy S4 habe Samsung bereits einen entsprechenden Fix eingebaut. Andere Hersteller würden derzeit damit beginnen, die Updates an die Geräte auszuliefern. Auch Google arbeite derzeit noch an einem Fix für seine Nexus-Geräte.

Im Google Play Store seien aber bereits Änderungen durchgeführt worden, um eine Verbreitung manipulierter APKs zu unterbinden. Die Angreifer müssten also die präparierten App-Installationsdateien über Mails, Links, App-Marktplätze anderer Anbieter oder andere Wege an die Anwender ausliefern.

Der aktuelle Fall zeigt erneut, dass Sicherheits-Updates nur vergleichsweise langsam innerhalb des gesamten Android-Ökosystems ausgeliefert werden, weil für die Auslieferung solcher Updates jeder Hersteller für sich verantwortlich ist. Und jeder Hersteller unterschiedlich schnell derartige Updates auch wirklich ausliefert. Auch im aktuellen Fall rechnet Bluebox damit, dass noch viele Geräte über eine lange Zeit hinweg davon betroffen sein werden.

(Panagiotis Kolokythas, pcwelt.de)


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.