Das Sicherheitsunternehmen Bluebox hat einen „Fake ID“ genannten Fehler in Android entdeckt, der es schädlichen Apps erlaubt, gefälschte Anmeldedaten an das Mobilbetriebssystem weiterzugeben. Dadurch kann die kryptografische Signatur der Anwendung nicht korrekt geprüft werden. Als Folge kann sie sich als eine beliebige andere App ausgeben und erhält deren Berechtigungen.
Wie AppleInsider berichtet, ist die Sicherheitslücke sehr gefährlich, weil Google mehrere Anwendungen als besonders vertrauenswürdig einstuft und ihnen umfangreiche Rechte zugesteht. Eine schädliche App kann wiederum vorgeben, sie sei eine dieser vertrauenswürdigen Anwendungen und den Nutzer glauben machen, sie benötige keinerlei besondere Rechte. In Wirklichkeit hat die gefährliche App aber vollständigen Zugriff, beispielsweise auf persönliche Informationen, Finanzdaten und sogar in der Cloud gespeicherte Dateien.
Ähnlich wie unter iOS werden auch unter Android Anwendungen mit einem Zertifikat ihrer Entwickler signiert. Das Betriebssystem kann so die Echtheit einer App bestätigen und Manipulationsversuche aufdecken. Laut Bluebox versucht der Paket-Installer von Android jedoch nicht, die Echtheit der Zertifikatskette zu überprüfen, was Manipulationen und damit die Signierung von Apps mit gefälschten Zertifikaten erlaubt.
Bluebox hat dem Bericht zufolge Google schon vor drei Monaten über den Bug informiert. In der kommenden Woche wird Jeff Forristal, Chief Technology Officer von Bluebox, auf der Hackerkonferenz BlackHat USA 2014 weitere Details zu der Schwachstelle nennen.
Google hat gegenüber der BBC bestätigt, dass es bereits einen Fix für den Fehler mit der Nummer 13678484 entwickelt hat. „Wir sind dankbar, dass Bluebox die Anfälligkeit an uns gemeldet hat“, sagte eine Google-Sprecherin. Der Patch sei bereits an Partner und das Android Open Source Project weitergeleitet worden.
Bluebox weist laut AppleInsider außerdem darauf hin, dass sich eine schädliche App auch als Flash-Plug-in ausgeben kann. Zudem sei Android bis einschließlich Version 4.3.x anfällig für einen Fehler in der Flash-Webansicht des Betriebssystems, der eine unautorisierte Erweiterung von Nutzerrechten erlaube. Eine schädliche App könne so die App-Sandbox von Android verlassen und die Kontrolle über Anwendungen wie Salesforce oder Microsoft OneDrive übernehmen, Daten dieser Apps abfangen oder deren Netzwerkverkehr ausspähen.
Allerdings kann Fake ID auch die Rechte anderer Anwendungen wie Google Wallet übernehmen. Ein weiteres Einfallstor sei 3LM, eine Mobile-Device-Management-Komponente, die Google zusammen mit Motorola übernommen habe. Sie sei in Smartphones von Pantech, Sharp, Sony Ericsson und Motorola enthalten und erlaube eine teilweise oder vollständige Kompromittierung durch Malware.
Fake ID betrifft alle Android-Versionen ab 2.1 bis einschließlich Android 4.4. Um Nutzer zu schützen, die über ihre Gerätehersteller oder Mobilfunkprovider zeitnah kein Update erhalten, prüft Google die in seinem Play Store angebotenen Apps auf Fake ID. Auch die Funktion Verify Apps wurde laut Google erweitert, um Nutzer zu schützen. „Wir haben alle in Google Play eingereichten Apps gescannt und keine Hinweise darauf gefunden, dass diese Anfälligkeit ausgenutzt wurde“, teilte Google mit.
[mit Material von Stephen J. Vaughan-Nichols, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
7 Kommentare zu Fake ID: Fehler in Android macht App-Berechtigungen unwirksam
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was kann ich tun, wenn mir der Bug 13678484 angezeigt wird?
Google muss sein System des Patchen von Android massiv ändern und diese direkt (ohne Umweg über die HW-Hersteller) schnell zur Verfügung stellen.
Auch müssen die Support-Zyklen m.E.n. massiv verlängert werden. 18/24 Monate für eine OS-Plattform sind nicht ausreichend.
Ich nutze mein HTC HD2 (06/2009) nur Dank Custom-ROM heute noch ohne Probleme. Die beiden Hersteller haben mich als Kunden längst „links liegen gelassen“, was meine zukünftige Kauf-Entscheidung beeinflussen wird.
Meine Güte hört das denn mit dieser Frickelware nie auf.?
Aber Hauptsache it´s open.
Liebe Androiduser alles was offen ist ,kann nicht dicht sein.
„alles was offen ist ,kann nicht dicht sein.“ – Gegenbeispiel: meine Kaffeetasse.
Auch, wenn sie die Tasse auf den Kopf drehen? Wenn ich mein iPhone auf den Kopf drehe, ist es dennoch ‚dicht‘ (sicher). ;-)
@Mathias
Brauchen andere OS-Plattformen (z. B. iOS, WP, OSX, Windows, Linux, Unixe und zOS) keine Security-Patches?
Ihrer generellen Einschätzung nach sind das dann alles ebenso „Frickel-Ware“, oder?
Doch schon, aber die betreffen nicht 50-100% der Geräte, und im Gegensatz zu Android WERDEN die Bugs bei Blackberry, iOS und Win Phone gefixed – bei Android passiert nix, die Kunden werden von Google und den Herstellern im Stich gelassen.
Da ist dann die Kritik mehr als berechtigt, das kann man nicht mit ‚alle haben Bugs‘ schönreden.
Kurz: Bugs haben auch andere, aber im Monatstakt kritische, ungefixte Bugs hat nur Android.