Android: Große Sicherheitslücke durch Signatur-Diebstahl
Eine große Sicherheitslücke des Android-Betriebssystems wurde entdeckt, welche die Plattform anfällig für Malware macht. Es sickerten die Signierungsschlüssel diverser Erstausrüster durch, darunter Samsung, LG und MediaTek. Mit diesen Schlüssen werden Android-Iterationen und Apps als vertrauenswürdig gekennzeichnet. Hacker können die Keys benutzen, um modifizierte Schadsoftware zu verbreiten. Das Betriebssystem würde die Programme als authentisch einstufen und keine Gefahren bei der Installation melden. Im schlimmsten Fall ist ein unbefugter Vollzugriff auf das Handy oder Tablet möglich. Google rät, Apps aus dem sicheren Play Store zu laden.
Samsung und Co. bekamen Signierungsschlüssel geklaut
Durchgesickerte Signierungsschlüssel sorgen für Malware
Google
Entwickler und ehemaliger xda-Chefredakteur Mishaal Rahman (via 9to5Google) macht auf einen bedenklichen Vorfall bezüglich des Android-Betriebssystems aufmerksam. Googles Partner-Initiative gegen die Verwundbarkeit der Software (Android Partner Vulnerability Initiative, kurz APVI) meldet eine Sicherheitslücke. „Plattform-Zertifikate werden benutzt, um Malware zu signieren“, heißt es im Problembericht 100. Zahlreiche Erstausrüster, auch OEMs genannt, wurden Opfer eines digitalen Diebstahls. Der Signierungsschlüssel, mit dem die Firmen Android-Iterationen und Apps als sicher kennzeichnen, sickerte durch.
Google Play Store sei sicher
Laut eines Google-Pressesprechers haben die OEM-Partner schnell reagiert. Endnutzer sollen durch die getroffenen Prozeduren geschützt sein. Google selbst nutzt vielfältige Methoden und Play Protect zur Erkennung von Schadsoftware. Es gäbe keinen Hinweis, dass entsprechende Malware im Play Store ist oder jemals gewesen sei. Das Unternehmen bittet die Anwender aber darum, das Betriebssystem aktuell zu halten. Einen vollständigen Schutz abseits des Play Stores kann Google nicht gewährleisten. Insofern ist es wichtig, nur Anwendungen aus vertrauenswürdigen Quellen zu beziehen.
Eine Sicherheitslücke bei MediaTek-SoCs machte Handys zuletzt abhörbar.