Symantec warnt vor Exploit für Master-Key-Lücke in Android

MobileMobile OSSicherheitSicherheitsmanagement
Symantec (Grafik: Symantec)

Die Experten haben zwei manipulierte Apps in chinesischen App Stores gesichtet. Google hat bereits einen Patch bereitgestellt, allerdings wurde der noch nicht von allen Android-Partnern verteilt. Wie sich die Lücke genau ausnutzen lässt, will Bluebox Security demnächst auf der Konferenz Black Hat demonstrieren.

Onlinebetrüger haben die “Master Key”-Lücke in Android, für die bisher nur ein Proof-of-Concept vorlag, jetzt erstmals ausgenutzt. Darauf hat Symantec hingeweisen. Über die Lücke lassen sich echte Apps um Schadcode erweitern, ohne dass sich die kryptografische Signatur ändert. Bekannt geworden war sie Anfang Juli durch die Firma Bluebox Security.

symantec-logo-

Jetzt hat Symantec in chinesischen App Stores zwei Schadprogramme gefunden. Dort lässt sich solche Malware besonders leicht verteilen, da Google keinen Google Play Store für China eingerichtet hat. Die Apps dienen laut Symantec eigentlich dazu, Termine mit Ärzten zu vereinbaren. “Ein Angreifer hat diese beiden Anwendungen genommen und um Code erweitert, der ihm ermöglicht, Geräte aus der Ferne zu steuern, vertrauliche Daten wie IMEI und Telefonnummern zu stehlen, SMS-Nachrichten zu verschicken und diverse chinesische Sicherheitslösungen zu deinstallieren, falls das Gerät gerootet ist.”

Wie genau sich die Lücke nutzen lässt, um Anwendungen zu manipulieren, ohne dass sich die Signatur ändert, wird Bluebox in Kürze auf der Konferenz Black Hat erklären. Klar ist aber, dass es sich um Manipulationen innerhalb der Ordner eines Android-Pakets im APK-Format handelt. Sophos zufolge validiert Android im Fall doppelt vorhandener Dateien immer die jeweils jüngste, installiert aber die andere.

Google hat die Lücke eigenen Angaben zufolge bereits geschlossen und einen Patch an die Partner verteilt. Wer nicht warten will, bis der Hersteller seines Smartphones die jeweilige Firmware einspielt, kann zum Beispiel auf CyanogenMod ausweichen, das die Lücke schon geschlossen hat. Auch ein Programm von Duo Security und der US-Universität Northeastern soll den Fehler beheben.

Wer ohnehin nur Apps aus Google Play installiert, dürfte durch den Fehler nicht gefährdet sein, auch wenn Trend Micro in seinem Blog auf bisher sieben im offiziellen Android-Software-Shop gefundene bösartige Anwendungen verweist. Die wurden inzwischen alle entfernt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen