Google hat nach eigenen Angaben die vergangene Woche von Bluebox Security offengelegte Sicherheitslücke im Verfahren zur Verifizierung von Android-Apps geschlossen. Wie das Unternehmen gegenüber ZDNet.com mitteilte, wurden seine Herstellungspartner (OEMs) mit entsprechenden Firmware-Updates versorgt.
Google-Pressesprecherin Gina Scigliano sagte, dass man keine Erklärung abgebe, sie aber bestätigen könne, „dass ein Patch an unsere Partner verteilt wurde“. Einige OEMs wie Samsung lieferten den Fix bereits an ihre Android-Geräte aus. Nutzer müssen das angebotene Update dann nur noch installieren.
Eine große Gefahr scheint von der Schwachstelle nicht auszugehen. „Wir haben mittels unserer Scanning-Tools keine Hinweise auf einen Exploit in Google Play oder anderen App Stores entdeckt“, erklärte Scigliano. „Google Play überprüft [Anwendungen] hinsichtlich dieses Problems – und Verify Apps bietet Schutz für Android-Nutzer, die Programme von Play auf ihre Geräte herunterladen.“
Laut Jeff Forristal, CTO von Bluebox Security, ist die jetzt beseitigte Schwachstelle bereits vier Jahre alt und findet sich demnach spätestens in Android 1.6. Damit wäre praktisch jedes in diesem Zeitraum verkaufte Android-Smartphone betroffen – insgesamt knapp 900 Millionen Geräte.
Aufgrund der Lücke ließen sich Forristal zufolge etwa 99 Prozent aller Apps in einen Trojaner umfunktionieren. Einmal eingeschleust könne dieser Daten stehlen und sie an ein Botnetz übermitteln, ohne dass dies Google Play, das Telefon oder der Nutzer bemerkten.
Das Kernproblem steckt Bluebox Security zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll hier Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.
Dies scheint anzudeuten, dass es sich schlicht um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal lieferte in seinem Blogbeitrag keine weiteren Details – und ließ diese Frage offen. Auch legte er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll.
[mit Material von Steven J. Vaughan-Nichols, ZDNet.com]
Neueste Kommentare
2 Kommentare zu Google schließt kritische Lücke in Android-App-Verifizierung
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ich nutze das HTC-Legend. Hier gibt es schon lange keine Updates mehr. Im Jahr 2010 gab es das letzte update auf Android Version 2.2. Ich nutze somit ein teures Handy, welches auf dem Stand von 2010 ist. Das ist sehr ärgerlich und ich frage mich, wieviele Sicherheitslücken auf dem Handy wohl drauf sind.
Firmwareupdates sind für die Katz, denn nur 4 Prozent aller weltweiten Android-Nutzer sind auf dem aktuellen Stand. Sollten die Hersteller es erhalten haben, müssen die Geräte zum ersten weiter unterstützt werden, was oft nicht der Fall ist, zweitens müssen die Updates eingearbeitet werden (in die eigene Firmware) und drittens müssen die Anwender die Updates auch durchführen, falls die Hürden eins und zwei genommen wurden. Mit anderen Worten: Android ist ein einziges Sicherheitsloch in der breiten Masse, wie die aktuellen Zahlen belegen.