Certifi-Gate: Zertifikatsmissbrauch soll Android-Geräte gefährden

7. August 2015, 13:53
13 Postings

Malware kann sich Zertifikate vorinstallierter Apps zunutze machen – Google gibt Entwarnung

Während ein Leck im Multimedia-Framework Stagefright in den vergangenen Tagen die Schlagzeilen zum Thema Android dominiert hat, ist nun im Rahmen der Black Hat-Konferenz eine weitere Schwachstelle offen gelegt, die das Google-Betriebssystem betrifft.

Es soll für Malware möglich sein, sich mit Hilfe gefälschter Zertifikate zu erhöhten Rechten zu verhelfen. Möglich wäre damit auch die Übernahme der Kontrolle über ein Gerät, erklären die Sicherheitsforscher Ohad Bobrov und Avi Bashan von Check Point Security.

Zertifikatsmissbrauch

Konkret, so schreibt Heise, ist es etwa möglich, das Zertifikat einer bestehenden App oder vorhandenen Plugins als "Vorlage" zu verwenden, um nach Trial-and-Error-Verfahren einen Klon mit passender Seriennummer oder passendem Hash zu erzeugen, da durch Android selbst keine ausreichende Signaturprüfung vorgenommen wird. Allerdings tragen auch Lücken in den jeweiligen Programmen selbst ebenfalls zum Gefahrenpotenzial bei.

Als Beispiel für erhöhte Gefährdung werden Apps für die Gewährung von Fernzugriff angeführt, etwa Software von AnySupport, Rsupport, CommuniTake und TeamViewer. Gelingt es, eines der gültigen Zertifikate zu klonen und einer bösartigen App beizufügen, hätte diese die gleichen Rechte, wie die bereits vorhandene Software.

foto: derstandard.at/pichler
Die Zertifikats-Prüfmechanismen verschiedener Fernwartungs-Apps sehen nicht so genau hin, wie sie sollten.

Problematische Softwareausstattung

Schwer wiegt dabei, dass auf zahlreichen Geräten derlei Software und Plugins für etwaige Wartungszwecke vorinstalliert und durch den Nutzer nicht einfach so entfernbar ist. Dementsprechend müsste der Hersteller des jeweiligen Telefons oder Tablets dafür ein Firmware-Update liefern, das eine neuere, abgesicherte Version der Fernwartungs-App mitbringt oder diese entfernt. Ein Rückruf der Zertifikate sei wiederum schwierig, werden diese doch oft für mehrere Apps genutzt.

Bashan und Bobrov schätzen, dass potenziell hunderte Millionen Geräte gefährdet sein könnten. Seit April seien Google und verschiedene App-Hersteller informiert, doch nicht alle hätten bereits Updates ausgespielt.

Google beschwichtigt

Entwarnung kommt allerdings von Seiten Googles, schreibt Golem. Dort erklärt man, dass Apps, die über den Play Store angeboten werden, auf ihren Umgang mit Zertifikaten geprüft werden. Somit soll es auf diesem Wege nicht möglich sein, Programme zu installieren, die Zertifikatsmissbrauch ermöglichen – was bei vorinstallierten Programmen allerdings wenig nützt. Google warnt jedenfalls einmal mehr davor, Apps aus nicht vertrauenswürdigen Quellen zu beziehen.

Eine Forderung, der man sich bei Check Point Security anschließt. Das Unternehmen hat bereits einen Scanner im Play Store als App verfügbar gemacht, mit der Nutzer ihr Endgerät auf das Vorhandensein von auf Certifi-Gate basierenden Lücken prüfen können. (gpi, 07.08.2015)

Share if you care.