Tipps zur gegenwärtigen Android-Sicherheitslücke

Inzwischen wurde eine weitere Masterkey-Lücke im Android-Betriebssystem entdeckt, bei der ebenfalls die ausführbaren APK-Android-Dateien manipuliert werden können. Dazu müsse nur der Header einer solchen APK-Datei modifiziert werden. Auch solchen APK-Dateien mit geänderten Header-Informationen könne Schadcode hinzugefügt werden, ohne dass die Signatur ungültig wird.

Die Sicherheitsfirma Bluebox warnte bereits vor zwei Wochen vor einer ähnlichen Lücke, die offenbar seit Android-Version 1.6 bestehe, wonach geschätzte 99 Prozent aller Android-Geräte betroffen wären. Bis jetzt haben erst das HTC One und Samsungs Galaxy S4 das erste offzielle Sicherheits-Update von Google erhalten.

Folgende Ratschläge können Sie bis jetzt befolgen:

Sie können im Play Store einen Security Scanner von Bluebox herunterladen (Voraussetzung: mindestens Android-Version 2.2). Mit diesem Tool können Sie alle auf Ihrem Gerät installierten Apps nach Schadcode scannen. Das Security Tool wird vielen Medienberichten zufolge als wertvoll und zuverlässig eingestuft. Das Tool scannt jedoch nur bereits installierte Anwendungen und behebt nicht die Sicherheitslücke. 

Des Weiteren sollten Sie es vermeiden, Apps aus zweifelhaften Quellen zu installieren. Wer sich beispielsweise gerippte Apps aus dem Schwarzmarkt auf sein Phone lädt, setzt sich klar einem höheren Risiko aus. Deaktivieren Sie unter Einstellungen/Sicherheit die Option «Unbekannte Herkunft», um zusätzlich das Risiko einzudämmen, nicht-offizielle Google Apps zu installieren.

Da es sich aber um einen Exploit handelt, der sich in offiziell signierte Apps einnisten kann, lohnt es sich wirklich, Reviews und App-Kommentare zu lesen und nicht auf die Schnelle etwas «Spannendes» herunterzuladen. Ausserdem ist es sinnvoll, immer die neuste Android-Version zu installieren, sofern verfügbar. Darin liegt aber genau das Problem: Solche Updates dauern in der Regel sehr lange oder kommen erst gar nicht mehr! Daher können Sie im Moment bei älteren Geräten höchstens die empfehlenswerte App von Bluebox anwenden und die allgemeinen Sicherheitsvorkehrungen befolgen. 

Daneben gibt es neu einige alternative Update-Möglichkeiten, wofür Sie aber den Root-Zugang zu Ihrem Gerät benötigen:

Der Sicherheitsanbieter Dou Sec hat in Zusammenarbeit mit der Northeastern University in Boston ein Tool entwickelt, mit dem, von jeder Android-Version ausgehend, der neuste Sicherheits-Patch aufgespielt werden kann. Ausserdem gibt es in der Custom-Mod-Szene vor allem bei Cyanogen schon sehr viele Firmware-Images mit dem neusten Patch für viele Geräte. Wir verzichten an dieser Stelle bewusst auf weitere Tipps rund ums Rooten und Modding, da das Rooten auf eigene Gefahr erfolgt. 

Anmerkung: Letztere Variante ist auf dem aktuelleren Stand. Bluebox hat die kürzlich bekannt gewordene (zweite) Lücke im Masterkey Exploit erst oberflächlich beschrieben und wollte sie an der Black-Hat-Konferenz noch umfassend beschreiben.