Fake ID: gefährliche Sicherheitslücke in Android entdeckt

Von der Lücke sind alle Android-Versionen bis einschließlich 4.4 KitKat betroffen. Schädliche Android-Apps können dabei die Berechtigungen legitimer Anwendungen übernehmen. Google hat schon einen Patch entwickelt und an Geräte- und Mobilfunkanbieter sowie das Android Open Source Project verteilt.

Ein Fehler in Android erlaubt schädlichen Apps, gefälschte Anmeldedaten an das Mobilbetriebssystem weiterzugeben. Dadurch kann die kryptografische Signatur der Anwendung nicht korrekt geprüft werden. Als Folge kann sie sich als eine beliebige andere App ausgeben und erhält deren Berechtigungen. Das Sicherheitsunternehmen Bluebox hat die „Fake ID“ genannte Lücke entdeckt.

Android Fake ID (Bild: Bluebox Security)

Android Fake ID (Bild: Bluebox Security)

Wie AppleInsider berichtet, ist die Sicherheitslücke sehr gefährlich, weil Google mehrere Anwendungen als besonders vertrauenswürdig einstuft und ihnen umfangreiche Rechte zugesteht. Eine schädliche App kann wiederum vorgeben, sie sei eine dieser vertrauenswürdigen Anwendungen und den Nutzer glauben machen, sie benötige keinerlei besondere Rechte. In Wirklichkeit hat die gefährliche App aber vollständigen Zugriff, beispielsweise auf persönliche Informationen, Finanzdaten und sogar in der Cloud gespeicherte Dateien.

Ähnlich wie unter iOS werden auch unter Android Anwendungen mit einem Zertifikat ihrer Entwickler signiert. Das Betriebssystem kann so die Echtheit einer App bestätigen und Manipulationsversuche aufdecken. Laut Bluebox versucht der Paket-Installer von Android jedoch nicht, die Echtheit der Zertifikatskette zu überprüfen, was Manipulationen und damit die Signierung von Apps mit gefälschten Zertifikaten erlaubt.

Bluebox hat dem Bericht zufolge Google schon vor drei Monaten über den Bug informiert. In der kommenden Woche wird Jeff Forristal, Chief Technology Officer von Bluebox, auf der Hackerkonferenz BlackHat USA 2014 weitere Details zu der Schwachstelle nennen.

Google hat gegenüber der BBC bestätigt, dass es bereits einen Fix für den Fehler mit der Nummer 13678484 entwickelt hat. „Wir sind dankbar, dass Bluebox die Anfälligkeit an uns gemeldet hat“, sagte eine Google-Sprecherin. Der Patch sei bereits an Partner und das Android Open Source Project weitergeleitet worden.

Bluebox weist laut AppleInsider außerdem darauf hin, dass sich eine schädliche App auch als Flash-Plug-in ausgeben kann. Zudem sei Android bis einschließlich Version 4.3.x anfällig für einen Fehler in der Flash-Webansicht des Betriebssystems, der eine unautorisierte Erweiterung von Nutzerrechten erlaube. Eine schädliche App könne so die App-Sandbox von Android verlassen und die Kontrolle über Anwendungen wie Salesforce oder Microsoft OneDrive übernehmen, Daten dieser Apps abfangen oder deren Netzwerkverkehr ausspähen.

Allerdings kann Fake ID auch die Rechte anderer Anwendungen wie Google Wallet übernehmen. Ein weiteres Einfallstor sei 3LM, eine Mobile-Device-Management-Komponente, die Google zusammen mit Motorola übernommen habe. Sie sei in Smartphones von Pantech, Sharp, Sony Ericsson und Motorola enthalten und erlaube eine teilweise oder vollständige Kompromittierung durch Malware.

Fake ID betrifft alle Android-Versionen ab 2.1 bis einschließlich Android 4.4. Um Nutzer zu schützen, die über ihre Gerätehersteller oder Mobilfunkprovider zeitnah kein Update erhalten, prüft Google die in seinem Play Store angebotenen Apps auf Fake ID. Auch die Funktion Verify Apps wurde laut Google erweitert, um Nutzer zu schützen. „Wir haben alle in Google Play eingereichten Apps gescannt und keine Hinweise darauf gefunden, dass diese Anfälligkeit ausgenutzt wurde“, teilte Google mit.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Fake ID: gefährliche Sicherheitslücke in Android entdeckt

  • Am 4. August 2014 um 10:40 von berthu

    Die Freude, Android zu nutzen, wird von Tag zu Tag weniger.
    Nur weil die Programmierer jeden tag neuen Schrott produzieren, anstatt die Grundfunktionen zu sichern! Grob fahrlässig nenn ich das!
    All die 80% „Altgeräte,Vers. 4.1 und vorher“ sehen sicher kein Update mehr. Es braucht eine Update-Bereitstellungspflicht!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *