Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software

Android-Sicherheitslücke betrifft fast 99 Prozent aller Geräte

    Android-Sicherheitslücke betrifft fast 99 Prozent aller Geräte

Das Sicherheits-Startup Bluebox Security hat eine Sicherheitslücke in Android aufgespürt, die bis zu 900 Millionen Smartphones und Tablets angreifbar machen könnte. Die Experten für mobile Sicherheitsfragen fanden eine Möglichkeit, den Code einer App abzuändern, ohne dabei die kryptografische Signatur zu verändern. Dadurch können Apps zu schädlichen Trojanern gemacht werden, ohne dass der Endanwender, das System oder Google dies bemerkt.

Android: Normale Apps könnten zu Trojanern gemacht werden

Jede Android-App besitzt eine eindeutige kryptografische Signatur. Dadurch soll eigentlich verhindert werden, dass sie verändert, beziehungsweise ausgetauscht wird – Android würde in diesem Fall Alarm schlagen. Nach Angaben von Bluebox ist es den Mitarbeitern der Firma allerdings gelungen, genau diesen Mechanismus auszuhebeln. Den Sicherheitsexperten gelang es, den Code einer App so zu verändern, dass die Signatur intakt blieb. Laut Bluebox existiert diese Sicherheitslücke mindestens seit der Android-Version 1.5 und könnte somit potenziell alle Geräte der vergangenen vier Jahre betreffen.

Android: Apps können unbemerkt manipuliert werden. (Bild: Bluebox Security)
Android: Apps können unbemerkt manipuliert werden. (Bild: Bluebox Security)

Würde man es schaffen, eine so veränderte App auf das Smartphone eines Nutzers zu bekommen, könnte diese die persönlichen Daten lesen oder unbemerkt kostenpflichtige Telefonnummern anwählen. Ein auf die Art und Weise infiltriertes Smartphone würde sich auch perfekt dafür eignen, alle möglichen Passwörter des Nutzers auszuspionieren. Auch als Teil eines Botnets könnte das Android-System nach einer Infektion fungieren. Laut Bluebox könnte bei veränderten System-Apps noch größerer Schaden entstehen. Diese besitzen oft Sonderrechte und haben weitreichende Zugriffsrechte innerhalb eines Android-Systems.

Android: Nutzer sollten darauf achten, dass Apps wirklich von dem jeweiligen Entwickler stammen

All das wurde Google schon im Februar 2013 mitgeteilt, wann allerdings Updates für die verschiedenen Smartphones und Tablets erscheinen, hängt von den jeweiligen Herstellern ab. Bekanntermaßen folgen nicht alle Firmen derselben Update-Politik im Bezug auf ihre Android-Geräte. Bluebox rät daher allen Nutzern, besonders aufmerksam bei der Installation von Apps zu sein und immer genau darauf zu achten, dass die App wirklich von dem jeweiligen Hersteller kommt. Wer seine Apps nur aus dem Play Store bezieht, sollte allerdings auf der sicheren Seite sein. Zusätzlich dazu sollte die Option zur Installation von Apps aus unsicheren Quellen deaktiviert werden. Firmen, die es erlauben, dass Mitarbeiter ihre eigenen Geräte mit zur Arbeit bringen, sollten außerdem verstärkt darauf drängen, dass die Angestellten auf ihren Smartphones und Tablets alle verfügbaren Updates installieren. Mehr Details zu der Sicherheitslücke möchte Bluebox im Rahmen eines Talks auf der Hackerkonferenz Black Hat USA 2013 ende Juli in Las Vegas vorstellen.

Weiterführende Links:

Finde einen Job, den du liebst zum Thema Android

1 Reaktionen
Mal wieder Crypto-Schlampereien
Mal wieder Crypto-Schlampereien

@Benedict Schmitz: Was sind denn "betroffenene Apps" in diesem Kontext ? Welche die gegen andere Apps mit gleicher Signatur im Store ausgetauscht wurden ?
Google hat doch neulich Virustotal gekauft und sollte eigentlich alle Binaries scannen die im Shop hochgeladen werden. Das spricht nicht unbedingt für die Viren-Checker die es ja auch für Android gibt. Oder nicht für Google die ja einen Viren-Meta-Checker aufgekauft haben und kostenlos nutzen könnten.

Das auch normale Apps zu viele Zugriffsrechte haben, wird ja ständig bemängelt. Whatsapp beispielsweise sendet wohl alle Kontakt-Daten nach USA. Vor Prism war einem das vielleicht egal.

Die Frage ist also, ob die Lücke fahrlässig oder absichtlich eingebaut wurde oder es (siehe auch aktuelle Crypto-Chat-Lücke oder damals Debian) Schlamperei der weltbesten Programmierer bei Google war.

Crypto macht man einzig und allein "by the book" weil man sonst abstürzt oder aufs Riff läuft oder halt geknackt wird weil man schlauer sein oder eine Abkürzung machen wollte und (bei hoher Kundenzahl) als abschreckendes Beispiel in einem ct-Bericht landet. Das sehen viele halt leider nicht ein und nächstes Jahr wird es wieder vergessen. "Sei auf der Hut sonst endet's nicht gut.". Früher waren Crypto-Vorlesungen wohl besser... .
Und Checksummen bzw. Signaturen macht man doch auch, damit einem nichts untergejubelt wird. Das sollten also eher Informatiker mit Dr-Titel analysieren und natürlich explizite Preisgelder ausgesetzt sein.

Schade das die Lücke so speziell ist. Ich würde mir ein einfaches System zum rooten meines Handies wünschen. Windows-PC, USB-Kabel, Debug-Modus, irgendwelche Tasten beim Booten halten... sind mir zu viel Aufwand. So ärgere ich mich jeden Tag über Androids vermeidbare Mängel und hoffe, das ultra-billige Firefox-OS ihm große Marktanteile wegnimmt.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen