Sicherheitslücke: fast alle Android-Apps lassen sich in Trojaner umfunktionieren

Das 2012 gegründete Startup Bluebox Security hat jetzt auf eine vier Jahre alte Sicherheitslücke in Android hingewiesen, aufgrund derer sich angeblich etwa 99 Prozent aller Apps in einen Trojaner umwandeln lassen. „Diese spätestens mit Android 1.6 eingeführte Schwachstelle könnte jedes in den letzten vier Jahren gestartete Android-Smartphone betreffen – also etwa 900 Millionen Geräte“, schreibt CTO Jeff Forristal in einem Blogbeitrag.

Android-Malware

Der Veröffentlichung zufolge lassen sich Anwendungen so modifizieren, dass sie Daten stehlen und diese an ein Botnetz schicken, ohne dass dies Google Play, das Telefon oder der Nutzer bemerken könnten. Das Kernproblem steckt Bluebox zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll hier Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies scheint anzudeuten, dass es sich schlicht um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal liefert in seinem Blogbeitrag keine weiteren Details – und lässt diese Frage offen. Auch legt er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll.

Forristal hat nach eigenen Angaben Google informiert und der Fehler die Identifikationsnummer 8.219.321a zugewiesen bekommen. Google wollte keinen Kommentar abgeben. In der Fehler-Datenbank des Android Open Handset Alliance Project findet sich die Schwachstelle nicht. Die Nummern dort reichen erst bis etwa 57.000.

Forristal zufolge kann die Schwachstelle nur behoben werden, indem Endgeräte-Hersteller ihre Firmware aktualisieren. Zudem müssten die Nutzer erst einmal informiert werden, wie sie ein Firmware-Update ausführen können. Auf der Konferenz Black Hat 2013 (ab 27. Juli in Las Vegas) will er die Schwachstelle detailliert schildern.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Sicherheitslücke: fast alle Android-Apps lassen sich in Trojaner umfunktionieren

  • Am 4. Juli 2013 um 17:18 von ApplOid Impuls

    Problematisch wird diese Sicherheitslücke leider erst recht, wenn die Angreifer es auf Anwendungen abgesehen haben, die von den Geräteherstellern programmiert wurden und besonders weitreichende Zugriffsrechte im Android-System haben.

    Ich habe ebenfalls in meinem Blog darüber berichtet und hoffe, dass Google und die übrigen Hersteller mit einem weitreichenden Patch antworten.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *