Sicherheitslücke

Android-Lücke trifft 99 Prozent aller Geräte

Sicherheitsexperten haben eine neue Lücke im mobilen Betriebssystem Android entdeckt. Nahezu 99 Prozent aller Android-Geräte seien von der Lücke betroffen.

Die Sicherheitsexperten von Bluebox Labs aus San Francisco warnen vor einer neu entdecken Sicherheitslücke in Android. Von der Lücke seien alle seit Android 1.6 (Codename "Donut") in den letzten vier Jahren erschienenen Android-Geräte bedroht. Das wären immerhin mehr als 900 Millionen Geräte weltweit, wie Bluebox Labs in einem Blogeintrag warnt.

Angreifer könnten die Lücke ausnutzen, um den Code einer Android-App-Installationsdatei (APK) zu manipulieren, ohne dabei deren kryptographische Signatur zu verändern. Jede legitime Applikation könne so mit einem Schädling ausgeliefert werden. Der Schaden, der durch diese Lücke angerichtet werden könne, sei immens. Vor allem wenn man bedenke, dass die von Smartphone-Herstellern mit den Geräten mitgelieferten Apps mit sehr hohen Rechten ausgestattet seien.

Würde ein Angreifer eine solche Android-App eines Smartphone-Herstellers entsprechend unter Ausnutzung der entdeckten Lücke manipulieren und der Anwender diese App dann installieren, dann hätte der Angreifer die volle Kontrolle über das Gerät. Die Lücke ermögliche es Angreifern, nicht nur Daten zu stehlen, sondern auch ein mobiles Botnet zu schaffen.

Das Sicherheitsmodell von Android ist so aufgebaut, dass für jede installierte App vom System eine Sandbox eingerichtet wird, auf die nur die betreffende App Zugriff hat. Der Zugriff wird über die digitale Signatur der App überwacht. Diese digitale Signatur ändert sich auch nach einem Update der App nicht, so dass diese auch nach diesem Update weiterhin auf die Sandbox zugreifen darf. Die von Bluebox entdeckte Lücke erlaubt es also, einer bereits digital signierten App neuen - auch schädlichen - Code hinzuzufügen, ohne dass sich die digitale Signatur dabei ändert.

Bluebox Labs hat Google bereits im Februar über das Problem informiert und auch alle Mitglieder der Open Handset Alliance mit allen notwendigen Infos versorgt, um für ihre Geräte entsprechende Updates entwickeln zu können. Laut Bluebox Labs läge es an den Herstellern nun die entsprechenden Updates für die Android-Geräte auszuliefern.

Beim Samsung Galaxy S4 habe Samsung bereits einen entsprechenden Fix eingebaut. Andere Hersteller würden derzeit damit beginnen, die Updates an die Geräte auszuliefern. Auch Google arbeite derzeit noch an einem Fix für seine Nexus-Geräte.

In Google Play seien aber bereits Änderungen durchgeführt worden, um eine Verbreitung manipulierter APKs zu unterbinden. Die Angreifer müssten also die präparierten App-Installationsdateien über Mails, Links, App-Marktplätzen anderer Anbieter oder andere Wege an die Anwender ausliefern.

Der aktuelle Fall zeigt erneut, dass Sicherheitsupdates nur vergleichsweise langsam innerhalb des gesamten Android-Ökosystems ausgeliefert werden, weil für die Auslieferung solcher Updates jeder Hersteller für sich verantwortlich ist. Und jeder Hersteller unterschiedlich schnell derartige Updates auch wirklich ausliefert. Auch im aktuellen Fall rechnet Bluebox damit, dass noch viele Geräte über eine lange Zeit hinweg davon betroffen sein werden. (PC Welt/mje)