Android-Sicherheitslücke betrifft 99 Prozent aller Geräte

4. Juli 2013, 10:18
204 Postings

Paketsignatur kann ausgetrickst werden - Modifizierte Softwareversionen mit eingebetteten Trojanern denkbar

Mit einer neuen Sicherheitslücke sehen sich Android-Hersteller Google und praktisch alle auf das mobile Betriebssystem setzenden Hardwareproduzenten konfrontiert. So hat der Sicherheitdienstleister Bluebox Labs nun einen Bug aufgetan, der sich zum Einschmuggeln von Schadsoftware nutzen lassen könnte.

Ausgetrickst

Wie das Unternehmen in einem Blog-Eintrag ausführt, soll sich die Paketsignatur von Android, die eigentlich sicherstellen soll, dass eine App tatsächlich vom richtigen Hersteller stammt, austricksen lassen. Offenbar hat man eine Methode gefunden, wie eine bestehende APK modifiziert werden kann, ohne deren Signatur zu verändern.

Angriffsszenario

Damit ließe sich beispielsweise ein Trojaner in ein Update für ein bestehendes Programm einschmuggeln. Freilich ist die reale Umsetzbarkeit dieses Unterfangens vom Verhalten der NutzerInnen selbst abhängig. Wer ausschließlich Updates aus dem Play Store installiert, sollte nicht gefährdet sein, da auf diesem Weg nur die ursprünglichen Softwarehersteller neue Versionen ausliefern können.

Problematik

Schlagend könnte dieses Problem allerdings werden, wenn man sich neue Versionen aus Dritt-Quellen besorgt. Dies ist gerade in den letzten Monaten von einer zunehmenden Zahl an NutzerInnen praktiziert worden, da Google dazu übergangen ist, Updates für die eigenen Apps in Wellen auszuliefern. Wer nicht Tage warten will, bis der eigene Account dran ist, besorgt sich also die neue Version aus dem Netz, im Vertrauen darauf, dass der Signatur-Check jegliche Manipulationen unterbindet. Diese Annahme kann nun als widerlegt angesehen werden, von der Installation extern vertriebener Updates muss also abgeraten werden.

Systemanwendungen

Besonders großes Gefährdungspotential sieht Bluebox in Apps, die sich als Update für die Systemanwendungen von Android oder den Drittherstellern tarnen. Da diese teilweise umfassende Rechte haben, könnte ein solcherart eingeschmuggelter Trojaner ein Android-Gerät theoretisch vollständig übernehmen, und vom Versenden von Premium-SMS bis zur Aufnahme des Smartphones in ein Botnetz allerlei Unerfreuliches "anstellen".

Umfassend

Laut Bluebox sind praktisch alle aktuellen Android-Geräte betroffen, soll der Bug doch bereits mindestens vier Jahre alt sein, ab Android 1.6 wurde er von dem Sicherheitsdienstleister "erfolgreich" getestet. Gegenüber IDG verweist das Unternehmen darauf, dass die betreffende Lücke derzeit nur bei einem einzigen Gerät beseitigt wurde: Samsungs Galaxy S4. Selbst Googles Nexus-Geräte seien hingegen derzeit noch gefährdet.

Informationspolitik

Google sei über das Problem im Februar des laufenden Jahres informiert worden, so Bluebox weiter. Technische Details zu der Lücke sollen im Rahmen der Blackhat-USA-Konferenz Ende Juli nachgereicht werden. (apo, derStandard.at, 04.07.13)

  • Android gibt es in vielen Varianten - und fast alle sind sie von der neuen Sicherheitslücke betroffen.
    foto: andreas proschofsky / derstandard.at

    Android gibt es in vielen Varianten - und fast alle sind sie von der neuen Sicherheitslücke betroffen.

Share if you care.