Sicherheitslücke: 900 Millionen Android-Smartphones gefährdet
Die Sicherheitslücke in Android demonstriert.
Bild: Bluebox
Ein Forschungs-Team von Bluebox hat eine schwerwiegende Sicherheitslücke im Android-System entdeckt
[Link entfernt]
. Die Sicherheitslücke erlaubt Angreifern, eine App so zu verändern, dass ihre kryptografische Signatur nicht geändert wird. Diese Sicherheitslücke macht erneut deutlich, wie dringend Google an der Aktualisierungspolitik der Hersteller Änderungen erreichen muss.
So funktioniert ein Angriff
Die Sicherheitslücke in Android demonstriert.
Bild: Bluebox
Genaue Details zur Sicherheitslücke wollen die Entdecker Ende Juli auf der Konferenz "Black Hat USA" bekanntgeben. Die jetzt veröffentlichen Informationen reichen aber aus, um das Verfahren zu skizzieren. Laut Bluebox befindet sich der entscheidende Fehler in Routinen, die die kryptografische Signatur einer App verifizieren und installieren. Angreifer können aufgrund dieses Fehlers eine App-Datei so manipulieren, dass die App Schadcode enthält, nach außen aber wie die originale Anwendung wirkt.
Weitere Details sind noch nicht bekannt. Der Titel des Blog-Eintrags lautet übrigens: "Uncovering Android Master Key That Makes 99% Of Devices Vulnerable". Daraus lässt sich schließen, dass möglicherweise ein Systemschlüssel von Android betroffen ist - was aber reine Spekulation unsererseits ist.
Risiken für Nutzer und wie Sie sich schützen können
Manipuliert ein Angreifer zum Beispiel System-Apps der Hersteller und erreicht, dass nichtsahnende Nutzer diese installieren, dann kann der so eingeschleuste Schadcode sämtliche Funktionen des Handys steuern oder übernehmen. Damit ließe sich ein mobiles Botnetz betreiben oder Daten wie Passwörter und Inhalte ausspähen.
Die meisten auf dem Markt befindlichen Android-Smartphones dürften für die Sicherheitslücke anfällig sein. Gegenüber dem Magazin CIO teilt Bluebox weitere Details mit [Link entfernt] . Demnach ist zur Zeit einzig das Samsung Galaxy S4 nicht betroffen, da Samsung bereits einen Patch implementiert habe. Der Google Play Store ist von der Lücke ebenfalls nicht betroffen, weil Google hier entsprechende Apps bereits aussortiert, bevor sie überhaupt für die Öffentlichkeit freigeschaltet werden.
Damit bleibt vor allem das Risiko, eine legitim wirkende App aus anderen Quellen zu beziehen. Das können Dritt-Anbieter-App-Stores sein. Auch aus dem Internet können prinzipiell Apps installiert werden - dies kann jedoch mit einer Einstellung von Android unterbunden werden: In den Sicherheits-Einstellungen kann - und sollte - die Installation aus "Unbekannten Quellen" deaktiviert werden. Ein Nachteil dieser Maßnahmen: Alternative App-Shops können dann nicht mehr funktionieren.
Wer erhält ein Update?
Das ist die große Frage auf der Android-Plattform. Laut Bluebox können bis zu 900 Millionen Smartphones betroffen sein. Da wohl alle Android-Versionen ab 1.6 betroffen sind, müssten beinahe alle Smartphones mit einem Sicherheitsupdate versehen werden. Die Update-Politik der Hersteller dürfte da betroffenen Nutzern einen Strich durch die Rechnung machen, denn nur die neueren Modelle erhalten Aktualisierungen - ältere werden oft nicht mehr unterstützt. Selbst Googles Nexus-Geräte sind laut Bluebox betroffen, obwohl der Konzern bereits seit Februar informiert sein soll.
Veraltete Software dürfte auch an anderen Stellen Sicherheitslücken aufreißen: Die HTML-Rendering-Engine Webkit, die im Android-Browser zum Einsatz kommt, ist häufig noch auf sehr altem Stand und könnte gefährdet sein.
Sicherheitslücken wie diese zeigen einmal mehr, dass Hersteller dringend aufgefordert sind, Sicherheits-Updates für ihre Smartphones getrennt von Produktupdates bereit zu stellen.