Symantec weist auf ersten Exploit für Master-Key-Lücke in Android hin

Erstmal nutzen Onlinebetrüger die „Master Key“-Lücke von Android in der Praxis aus, für die bisher nur ein Proof-of-Concept vorlag. Das berichtet Symantec in seinem Blog. Sie ermöglicht es, echte Apps um Schadcode zu erweitern, ohne dass sich die kryptografische Signatur ändert. Bluebox Security hatte sie Anfang Juli gemeldet.

Die beiden Schadprogramme hat Symantec in alternativen chinesischen App Stores entdeckt. Dort lässt sich solche Malware besonders leicht verteilen, da Google keinen Google Play Store für China eingerichtet hat. Die „Skullkey“-Apps dienen Symantec zufolge eigentlich dazu, Termine mit Ärzten zu vereinbaren. „Ein Angreifer hat diese beiden Anwendungen genommen und um Code erweitert, der ihm ermöglicht, Geräte aus der Ferne zu steuern, vertrauliche Daten wie IMEI und Telefonnummern zu stehlen, SMS-Nachrichten zu verschicken und diverse chinesische Sicherheitslösungen zu deinstallieren, falls das Gerät gerootet ist.“


Wie genau sich die Lücke nutzen lässt, um Anwendungen zu manipulieren, ohne dass sich die Signatur ändert, wird Bluebox in Kürze auf der Konferenz Blackhat erklären. Klar ist aber, dass es sich um Manipulationen innerhalb der Ordner eines Android-Pakets im APK-Format handelt. Sophos zufolge validiert Android im Fall doppelt vorhandener Dateien immer die jeweils jüngste, installiert aber die andere.

Google hat die Lücke nach eigenen Angaben geschlossen und einen Patch an die Partner verteilt. Wer nicht warten will, bis der Hersteller seines Smartphones die jeweilige Firmware patcht, kann auf CyanogenMod ausweichen, das die Lücke schon geschlossen hat. Auch ein Programm von Duo Security und der US-Universität Northeastern behebt den Fehler angeblich.

Wer ohnehin nur Apps aus Google Play installiert, dürfte durch den Fehler nicht gefährdet sein, auch wenn Trend Micro in seinem Blog auf bisher sieben im offiziellen Android-Software-Shop gefundene bösartige Anwendungen verweist. Sie wurden inzwischen alle entfernt.

Anwender können mit dem Bluebox Security Scanner lässt sich überprüfen, ob die entsprechenden Patches, die Schutz vor der Masterkey-Lücke bieten, schon installiert sind.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

1 Stunde ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago