Sicherheitsforscher: 99 Prozent aller Android-Apps lassen sich in Trojaner verwandeln

Bluebox Security zufolge steckt das Problem in der Signierung von Android-Programmen. Es wurde spätestens mit Android 1.6 eingeführt. Eine Fehlerbehebung ist angeblich nur durch ein Firmware-Update möglich.

von Florian Kalenda am 4. Juli 2013 , 13:14 Uhr

Bluebox Security weist auf eine vier Jahre alte Sicherheitslücke in Android hin, aufgrund derer sich angeblich etwa 99 Prozent aller Apps in einen Trojaner umfunktionieren lassen. „Diese spätestens mit Android 1.6 eingeführte Schwachstelle könnte jedes in den letzten vier Jahren gestartete Android-Smartphone betreffen – also etwa 900 Millionen Geräte“, schreibt CTO Jeff Forristal in einem Blogbeitrag.

Der Veröffentlichung zufolge lassen sich Anwendungen so modifizieren, dass sie Daten stehlen und diese an ein Botnetz schicken, ohne dass dies Google Play, das Telefon oder der Nutzer bemerken könnten. Das Kernproblem steckt Bluebox zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll hier Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies scheint anzudeuten, dass es sich schlicht um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal liefert in seinem Blogbeitrag keine weiteren Details – und lässt diese Frage offen. Auch legt er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll.

Forristal hat nach eigenen Angaben Google informiert und der Fehler die Identifikationsnummer 8.219.321 zugewiesen bekommen. Google wollte keinen Kommentar abgeben. In der Fehler-Datenbank des Android Open Handset Alliance Project findet sich die Schwachstelle nicht. Die Nummern dort reichen erst bis etwa 57.000.

Forristal zufolge kann die Schwachstelle nur behoben werden, indem Endgeräte-Hersteller ihre Firmware aktualisieren. Zudem müssten die Nutzer erst einmal informiert werden, wie sie ein Firmware-Update ausführen können. Auf der Konferenz Black Hat 2013 (ab 27. Juli in Las Vegas) will er die Schwachstelle detailliert schildern.