Ein Sicherheitsforscher hat auf eine neue Schwachstelle in Android hingewiesen, die es Angreifern ermöglicht, installierte Apps zu manipulieren. Sie steckt in allen Android-Versionen außer der neusten – Android 4.4 KitKat.
Die Schwachstelle hat Jay Freeman alias Saurik entdeckt, der durch seine iOS-Jailbreak-Hacks bekannt wurde. Ihm zufolge ist der Fehler der Master-Key-Lücke ähnlich, die Google im Februar gemeldet und im Juli öffentlich gemacht worden war. In beiden Fällen lassen sich Änderungen an Apps vornehmen, ohne dass der Besitzer des Geräts dies bemerken könnte.
Der Master-Key-Bug betraf alle Android-Versionen ab 1.6. Google reagierte unter anderem, indem es in Google Play alle Apps blockierte, die den Fehler ausnutzten.
Die neue, aber mit dieser verwandte Lücke hat Freeman im Juli bemerkt und umgehend Google gemeldet. So kommt es, dass Android 4.4 sie schließt. Freeman zufolge ist sie „schwächer“ als der „Master Key“-Bug und eine andere verwandte Sicherheitslücke. Sie kann aber durchaus eingesetzt werden, um etwa Jailbreaks von Android-Versionen vor 4.4 durchzuführen.
Laut Paul Ducklin von Sophos hängt der Fehler mit dem Umgang von Android mit ZIP-Behältern zusammen, die in Androids App-Dateiformat APK Verwendung finden. Für sie gibt es separate Module, um sie zu laden und zu überprüfen. Ihnen kann ein Angreifer unterschiedliche Dateiversionen vorlegen. „Einfach gesagt: Der Loader kann Malware vorgelegt bekommen, die der Verifikator nie zu sehen bekommt“, schreibt Ducklin in einem Blogeintrag.
Die Frage ist nun, wann Fixes für diese Lücke die Endgeräte erreichen werden. „Obwohl Google die erste Schwachstelle im Februar sorgfältig von Bluebox vorgelegt bekommen hat, gab es für die Nexus-Gerätefamilie erst im Juli (mit Android 4.3) eine Korrektur, und viele fremde Geräte sind heute noch ungepatcht. In einem zweiten Fall lief es noch schlechter. Hoffentlich führt die dritte Schwachstelle zu mehr Aktualisierungen“, schreibt Freeman.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
