Trend Micro hat einen Fehler in Android 4.4 und früher entdeckt, der bei der Verarbeitung von Sicherheitszertifikaten auftritt. Demnach kann Googles Mobilbetriebssystem nicht mit über Kreuz signierten Zertifikaten (Zertifikat A signiert Zertifikat B und Zertifikat B signiert Zertifikat A) umgehen. Als Folge wird ein Android-Gerät sehr langsam oder stürzt sogar ab, sodass ein Neustart erforderlich ist.
Der Fehler steckt nach Angaben des Sicherheitsanbieters in den Klassen „JarFile“ und „KeyStore“ des Android-Framework. Jede Android-Funktion, die eine der beiden Klassen verwendet, sei anfällig für den Fehler. JarFile sei für die Prüfung von Zertifikaten und Signaturen von jar-Paketen zuständig, während KeyStore Schlüsseldateien im PKCS#12-Format für den Android KeyStore verarbeite. Beide Klassen fallen demnach beim Aufruf von über Kreuz signierten Zertifikaten in eine Endlosschleife.
Trend Micro hat die Schwachstelle in zwei verschiedenen Szenarien erfolgreich getestet. Demnach kann ein über Kreuz signiertes Zertifikat über eine speziell gestaltete App oder einen präparierten Schlüsselbund eingeschleust werden. Über Kreuz signierte Zertifikate lassen sich wiederum über unterschiedliche Signierungsanfragen generieren.
Ein Screenshot zeigt, dass ein Gerät mit Android 4.1.2 nicht in der Lage ist, die Installation einer von Trend Micro erstellten App namens LoopCertsChain, die mit einem über Kreuz signierten Zertifikat versehen ist, abzuschließen. „Bei genauer Prüfung haben wir herausgefunden, dass ein Schlüssel-Prozess (system_server) Systemressourcen verbraucht, bis er beendet wird, was einen Neustart auslöst. Der Nutzer hat hier keine andere Wahl“, schreibt Trend Micro in einem Blogeintrag.
Derselbe Fehler trete auch beim Import einer manipulierten Zertifikatsdatei auf, so Trend Micro weiter. Hier falle der Prozess „com.android.certinstaller“ in eine Endlosschleife, die sich nur durch einen Neustart beenden lasse.
Trend Micro weist allerdings darauf hin, dass die Anfälligkeit derzeit nicht sicherheitsrelevant ist. Es sei allerdings möglich, dass eine weitere Analyse des Fehlers zusätzliche Probleme offenlege, was eventuell „direktere Folgen wie das Ausführen von beliebigem Code“ habe. Google sei über den Fehler informiert. Es habe aber bisher keinen Zeitplan für die Veröffentlichung eines Patches genannt.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…