Google schließt Lücke in der Verifizierung von Android-Apps

MobileMobile OSSicherheit
Android Logo (Bild: Google)

Den Entdeckern von Bluebox Security zufolge sind alle Geräte mit Android 1.6 oder höher betroffen. Nun hat Google einen Patch an OEMs verteilt. Die werden Nutzern ein Firmware-Update bereitstellen. Samsung hat bereits damit begonnen.

Google hat die vergangene Woche von Bluebox Security bekannt gemachte Sicherheitslücke im Verfahren zur Verifizierung von Android-Apps behoben. Das Unternehmen hat gegenüber ZDNet.com mitgeteilt, dass seine OEMs mit Firmware-Updates versorgt worden seien.

android-logo

Google-Pressesprecherin Gina Scigliano bestätigte, “dass ein Patch an Partner verteilt wurde”. Einige OEMs wie Samsung lieferten den Fix bereits an von ihnen hergestellte Android-Geräte aus. Nutzer müssen das Update dann nur noch installieren.

Eine große Gefahr scheint von der Schwachstelle nicht auszugehen. “Wir haben mittels unserer Scanning-Tools keine Hinweise auf einen Exploit in Google Play oder anderen App Stores entdeckt”, erklärte Scigliano. “Google Play überprüft [Anwendungen] hinsichtlich dieses Problems – und Verify Apps bietet Schutz für Android-Nutzer, die Programme von Play auf ihre Geräte herunterladen.”

Laut Jeff Forristal, CTO von Bluebox Security, ist die jetzt beseitigte Schwachstelle bereits vier Jahre alt und findet sich demnach spätestens in Android 1.6. Damit wäre praktisch jedes in diesem Zeitraum verkaufte Android-Smartphone betroffen – insgesamt knapp 900 Millionen Geräte.

Aufgrund der Lücke ließen sich Forristal zufolge etwa 99 Prozent aller Apps in einen Trojaner umfunktionieren. Dieser könne Daten stehlen und sie an ein Botnetz übermitteln, ohne dass dies Google Play, das Telefon oder der Nutzer bemerkten.

Das Kernproblem steckt Bluebox Security zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll an dieser Stelle Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies scheint anzudeuten, dass es sich um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal lieferte keine weiteren Details.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen