Google schließt Sicherheitslücke: Android-Apps nach Update wieder sicher

Google schließt Sicherheitslücke: Android-Apps nach Update wieder sicherLetzte Woche hatte das 2012 gegründete Startup Bluebox Security auf eine Sicherheitslücke in Androids App-Verifizierungsverfahren aufmerksam gemacht, die Angreifer ausnutzten konnten, um Apps in einen Trojaner umzufunktionieren. 99 Prozent aller Anwendungen sollten anfällig gewesen sein.

Jetzt hat Google bekannt geben, die Sicherheitslücke geschlossen und seine Herstellungspartnern (OEMs) mit entsprechenden Updates der Firmware ausgestattet zu haben. Das teilte das Unternehmen gegenüber ZDNet.com mit.

Einige Hersteller wie Samsung haben bereits ein Update für ihre Android-Geräte bereitgestellt, das Nutzer lediglich über die Geräteeinstellung ihres Smartphones oder Tablets herunterladen und installieren müssen.

Eine große Gefahr scheint war das Sicherheitsleck laut Google aber nicht. Google-Pressesprecherin Gina Scigliano äußerte sich wie folgt: “Wir haben mittels unserer Scanning-Tools keine Hinweise auf einen Exploit in Google Play oder anderen App Stores entdeckt”, “Google Play überprüft [Anwendungen] hinsichtlich dieses Problems – und Verify Apps bietet Schutz für Android-Nutzer, die Programme von Play auf ihre Geräte herunterladen.”

Laut Jeff Forristal, CTO von Bluebox Security, ist die jetzt beseitigte Schwachstelle bereits vier Jahre alt und findet sich demnach spätestens in Android 1.6. Damit wäre praktisch jedes in diesem Zeitraum verkaufte Android-Smartphone betroffen – insgesamt knapp 900 Millionen Geräte.

Aufgrund der Lücke ließen sich Forristal zufolge etwa 99 Prozent aller Apps in einen Trojaner umfunktionieren. Einmal eingeschleust könne dieser Daten stehlen und sie an ein Botnetz übermitteln, ohne dass dies Google Play, das Telefon oder der Nutzer bemerkten.

Das Kernproblem steckt Bluebox Security zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll hier Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies scheint anzudeuten, dass es sich schlicht um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal lieferte in seinem Blogbeitrag keine weiteren Details – und ließ diese Frage offen. Auch legte er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll.

[Mit Material von Björn Greif, ZDNet.de]

TrustGo Antivirus & Mobile Security für Android: Mehr Sicherheit beim Installieren von Apps

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Eine Kommentar zu Google schließt Sicherheitslücke: Android-Apps nach Update wieder sicher

  • Am 10. Juli 2013 um 09:34 von Martin Kurth

    Und wie sieht es bei einer vom Provider (Telekom, Vodafone,…) gebrandeten Firmware aus?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *