Apps können sich durch Fehler in Android Berechtigungen anderer Apps verschaffen

MobileMobile OSSicherheitSicherheitsmanagement
android-fake-id

Der Fake-ID genannte Fehler wurde von Bluebox Security entdeckt und findet sich in allen Versionen des Betriebssystems, auch in Android 4.4. Google hat einen Patch entwickelt und an Geräte- und Mobilfunkanbieter sowie das Android Open Source Project verteilt.

Ein Fake ID genannter Fehler in Android erlaubt es bösartigen Apps, gefälschte Anmeldedaten an das Mobilbetriebssystem weiterzugeben. Wie das Sicherheitsunternehmen Bluebox mitgeteilt hat, kann dadurch die kryptografische Signatur der Anwendung nicht korrekt geprüft werden. Daher kann sich die Malware als eine beliebige andere App ausgeben und dann mit den dieser App erteilten Berechtigungen agieren.

Android Fake-ID (Bild: Bluebox Security)

Android-Anwendungen werden mit einem Zertifikat ihrer Entwickler signiert. Das Betriebssystem kann so die Echtheit einer App bestätigen und Manipulationsversuche aufdecken. Laut Bluebox überprüft der Paket-Installer von Android jedoch nicht die Echtheit der Zertifikatskette. Dadurch sind Manipulationen und die Signierung von Apps mit gefälschten Zertifikaten möglich.

Jeff Forristal, Chief Technology Officer von Bluebox, wird zudem in der kommenden Woche auf der Hackerkonferenz BlackHat USA 2014 weitere Details zu der Schwachstelle nennen. Google wurde bereits vor drei Monaten über den Bug informiert.

Gegenüber der BBC hat Google bestätigt, dass es einen Fix für den Fehler mit der Nummer 13678484 entwickelt hat. “Wir sind dankbar, dass Bluebox die Anfälligkeit an uns gemeldet hat”, sagte eine Google-Sprecherin. Der Patch sei bereits an Partner und das Android Open Source Project weitergeleitet worden.

Eine schädliche App kann aufgrudn eines weiteren Fehlers auch die App-Sandbox von Android verlassen und die Kontrolle über Anwendungen wie Salesforce oder Microsoft OneDrive übernehmen, Daten dieser Apps abfangen oder deren Netzwerkverkehr ausspähen. Allerdings kann Fake ID auch die Rechte anderer Anwendungen wie Google Wallet übernehmen. Ein weiteres Einfallstor ist 3LM, eine Mobile-Device-Management-Komponente, die Google mit kauf von Motorola übernommen hat. Sie ist in Smartphones von Pantech, Sharp, Sony Ericsson und Motorola enthalten. Diurch sie droht eine teilweise oder vollständige Kompromittierung durch Malware.

Fake ID betrifft alle Android-Versionen von 2.1 bis einschließlich Android 4.4. Nutzer, die über ihre Gerätehersteller oder Mobilfunkprovider zeitnah kein Update erhalten, will Google durch eine Überprüfung der im Play Store angeboten Apps auf Fake ID schützen. Auch die Funktion Verify Apps wurde laut Google erweitert, um Nutzer zu schützen. “Wir haben alle in Google Play eingereichten Apps gescannt und keine Hinweise darauf gefunden, dass diese Anfälligkeit ausgenutzt wurde”, teilte Google mit.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen