Sicherheitsforscher warnen vor neuer kritischer Android-Lücke

29. Juli 2014, 15:44
50 Postings

App-ID-Prüfung funktioniert nicht richtig - Umfassender Zugriff möglich - Potentiell Millionen Geräte betroffen

Als Bluebox Security vor rund einem Jahr eine Lücke offenlegte, mit der sich die Signaturprüfung von Android austricksen ließ, sorgte dies für einiges Aufsehen. Nun können die Sicherheitsexperten mit einem neuen Bug aufwarten, den man in seiner Auswirkung für noch deutlich kritischer hält. Lassen sich damit doch potentiell private Daten auf dem Smartphone auslesen.

Vorgespiegelt

Wie Bluebox herausgefunden hat, funktioniert die ID-Prüfung bei der Installation einer neuen App nämlich nicht korrekt. Dadurch sei es möglich, dass sich Apps gegenüber dem System als anderes Programm ausgeben können. Das ist deswegen so problematisch, da es in Android eine Handvoll Apps gibt, für die das System Ausnahmen von den sonstigen Sicherheitsregeln erlaubt, um ihre volle Funktionstüchtigkeit zu garantieren.

Beispiele

Dazu gehören etwa das Adobe Flash-Plugin, das einst erweiterte Rechte im Browser zugesprochen bekommen hat, die bis heute in Android fix definiert sind. Ein zweites Beispiel ist ein Programm der Firma 3LM, das auf den Geräten einige Hersteller zum Gerätemanagement verwendet wird. Über Letzteres könnte dann beispielsweise eine Spyware-App einen ziemlich umfassenden Zugriff auf betroffene Android-Geräte bekommen. Desweiteren könnte sich eine App noch als Google Wallet ausgeben und so Finanztransaktionsdaten auslesen, wie die Sicherheitsforscher betonen.

Geschichte

Laut Bluebox wurde Google bereits im April über das Problem informiert, und hat mittlerweile auch einen Patch erstellt, der an die eigenen Partner weitergeleitet wurde. So soll Motorola bereits einige seiner Geräte durch ein Firmwareupdate geschützt haben. In einem kurzen Test scheint die Lücke auf einem Nexus 5 sowohl mit Android 4.4.4 als auch mit dem Android L Preview allerdings noch nicht geschlossen zu sein. Wie Situation bei anderen Herstellern aussieht ist derzeit noch unklar.

Im Detail

Noch komplizierter wird die Situation dadurch, dass der Fehler in Android 4.4 zwar noch prinzipiell vorhanden ist, sich aber bereits nicht mehr überall ausnutzen lässt. So wurde in “KitKat” der Angriffsvektor über das Annehmen der ID von Adobe Flash durch den Wechsel auf das Chromium Webview - unabsichtlich - ausgehebelt. Und die Attacke mittels 3LM funktioniert ohnehin nur auf jenen Geräten, die auch die entsprechenden Extensions nutzen, wozu etwa HTC, Sony und Motorola gehören.

Maßnahmen

Da der Bug seit der Version 2.1 in Android besteht, und bei vielen Geräten wohl keine Chance auf eine Update mehr besteht, versucht Google aber noch auf anderem Weg die Ausnutzung der Lücke zu verhindern. Gegenüber Arstechnica verweist das Unternehmen darauf, dass man mittlerweile das gesamte Google-Play-Angebot nach Apps abgesucht hat, die diese Lücke auszunutzen versuchen - ohne Ergebnis. Auch sonst sind bislang keine aktiven Angriffe gegen diese Lücke bekannt. Darüber hinaus werden mittlerweile alle neuen Apps und App-Updates vor der Veröffentlichung bei Google Play automatisiert gescannt, der aktualisierte Malware-Scanner der Google Play Services soll bei der Installation von extern bezogenen Programmen schützen.

Warnung

Bei Bluebox warnt man trotzdem eindringlich vor der Lücke. Diese könnte potentiell wesentlich ernsthaftere Auswirkungen als der Bug in der Signaturprüfung haben, da die neue Lücke wesentlich leichter auszunutzen sei. Wer überprüfen will, ob das eigene Gerät betroffen ist, kann den Bluebox Security Scanner installieren, der in der aktuellsten Version auch auf das Vorhandensein der “Fake ID”-Lücke testet. Weitere Informationen zu dem Problem sollen im Rahmen eines Vortrags auf der Sicherheitskonferenz Black Hat präsentiert werden. (Andreas Proschofsky, derStandard.at, 29.7.2014)

  • Artikelbild
    grafik: bluebox security
Share if you care.