Sicherheitslücke: 900 Millionen Android-Smartphones gefährdet

Die Sicherheitslücke in Android demonstriert.
Bild: Bluebox Ein Forschungs-Team von Bluebox hat eine schwer­wiegende Sicher­heits­lücke im Android-System entdeckt [Link entfernt] . Die Sicher­heits­lücke erlaubt Angreifern, eine App so zu verändern, dass ihre krypto­grafische Signatur nicht geändert wird. Diese Sicher­heits­lücke macht erneut deutlich, wie dringend Google an der Aktu­alisierungs­politik der Her­steller Änder­ungen erreichen muss.

So funktioniert ein Angriff

Die Sicherheitslücke in Android demonstriert.
Bild: Bluebox Genaue Details zur Sicherheitslücke wollen die Entdecker Ende Juli auf der Konferenz "Black Hat USA" bekanntgeben. Die jetzt veröffentlichen Informationen reichen aber aus, um das Verfahren zu skizzieren. Laut Bluebox befindet sich der entscheidende Fehler in Routinen, die die kryptografische Signatur einer App verifizieren und installieren. Angreifer können aufgrund dieses Fehlers eine App-Datei so manipulieren, dass die App Schadcode enthält, nach außen aber wie die originale Anwendung wirkt.

Weitere Details sind noch nicht bekannt. Der Titel des Blog-Eintrags lautet übrigens: "Uncovering Android Master Key That Makes 99% Of Devices Vulnerable". Daraus lässt sich schließen, dass möglicherweise ein Systemschlüssel von Android betroffen ist - was aber reine Spekulation unsererseits ist.

Risiken für Nutzer und wie Sie sich schützen können

Manipuliert ein Angreifer zum Beispiel System-Apps der Hersteller und erreicht, dass nichtsahnende Nutzer diese installieren, dann kann der so eingeschleuste Schadcode sämtliche Funktionen des Handys steuern oder übernehmen. Damit ließe sich ein mobiles Botnetz betreiben oder Daten wie Passwörter und Inhalte ausspähen.

Die meisten auf dem Markt befindlichen Android-Smartphones dürften für die Sicherheitslücke anfällig sein. Gegenüber dem Magazin CIO teilt Bluebox weitere Details mit [Link entfernt] . Demnach ist zur Zeit einzig das Samsung Galaxy S4 nicht betroffen, da Samsung bereits einen Patch implementiert habe. Der Google Play Store ist von der Lücke ebenfalls nicht betroffen, weil Google hier entsprechende Apps bereits aussortiert, bevor sie überhaupt für die Öffentlichkeit freigeschaltet werden.

Damit bleibt vor allem das Risiko, eine legitim wirkende App aus anderen Quellen zu beziehen. Das können Dritt-Anbieter-App-Stores sein. Auch aus dem Internet können prinzipiell Apps installiert werden - dies kann jedoch mit einer Einstellung von Android unterbunden werden: In den Sicherheits-Einstellungen kann - und sollte - die Installation aus "Unbekannten Quellen" deaktiviert werden. Ein Nachteil dieser Maßnahmen: Alternative App-Shops können dann nicht mehr funktionieren.

Wer erhält ein Update?

Das ist die große Frage auf der Android-Plattform. Laut Bluebox können bis zu 900 Millionen Smartphones betroffen sein. Da wohl alle Android-Versionen ab 1.6 betroffen sind, müssten beinahe alle Smartphones mit einem Sicherheitsupdate versehen werden. Die Update-Politik der Hersteller dürfte da betroffenen Nutzern einen Strich durch die Rechnung machen, denn nur die neueren Modelle erhalten Aktualisierungen - ältere werden oft nicht mehr unterstützt. Selbst Googles Nexus-Geräte sind laut Bluebox betroffen, obwohl der Konzern bereits seit Februar informiert sein soll.

Veraltete Software dürfte auch an anderen Stellen Sicherheitslücken aufreißen: Die HTML-Rendering-Engine Webkit, die im Android-Browser zum Einsatz kommt, ist häufig noch auf sehr altem Stand und könnte gefährdet sein.

Sicherheitslücken wie diese zeigen einmal mehr, dass Hersteller dringend aufgefordert sind, Sicherheits-Updates für ihre Smartphones getrennt von Produkt­updates bereit zu stellen.