Das US-amerikanische Sicherheitsunternehmen Bluebox Security hat eine Sicherheitslücke in dem Smartphone-Betriebssystem Android entdeckt. Der Android Bug 8219321 soll bereits seit der Android-Version 1.6 (Codename Donut) bestehen, die im Jahr 2009 veröffentlicht wurde und auch alle folgenden Versionen betreffen. Demnach besteht die Sicherheitslücke auf etwa 900 Millionen Android-Geräten.
Der Bug sorgt dafür, dass sich Schadsoftware in eigentlich seriösen Apps verstecken kann und installiert wird, ohne dass Android davor warnt. Programmierer vergeben für ihre Apps nämlich eine kryptografische Signatur. Wird die App installiert, prüft Android zunächst, ob die Signaturen der des Originals entspricht oder ob die App manipuliert wurde. Durch die Sicherheitslücke ist es aber möglich, den Code der apk-Dateien zu ändern, ohne die Signatur zu verändern, sodass Android die Manipulation nicht erkennt. Dadurch können Schadprogramme in das Betriebssystem eingeschleust werden, auch mit Systemanwendungen mit speziellen Rechten.
Google als Entwickler des Betriebssystems Android wurde bereits im Februar auf die Sicherheitslücke hingewiesen. Es sind jedoch die Gerätehersteller, die entsprechende Updates an die Nutzer der Endgeräte ausliefern müssen. Besitzer eines Smartphones oder Tablets mit Android-Betriebssystem sollten Apps nur aus vertrauenswürdigen Quellen installieren. Dazu zählt insbesondere der Google Play Store, in dem die zum Download angebotenen Apps durch Google überprüft werden. Der Download und die Installation von .apk-Dateien aus unbekannten Quellen in dem Internet sind eine nicht zu unterschätzende Gefahrenquelle. Das ist ein Ratschlag, der offensichtlich nicht oft genug wiederholt werden kann.
Update vom 09.07.2013
Gegenüber ZDNet hat die Google-Pressesprecherin Gina Scigliano gesagt, Google habe ein Patch an die Hardware-Hersteller verteilt, das die Sicherheitslücke schliesst. Der Hersteller Samsung hat bereits mit der Auslieferung im Rahmen eines Updates begonnen.
Ab der Version CM7 des alternativen Android-Betriebssystems CyanogenMod ist die Lücke bereits geschlossen worden. Die Updates sind auf den Servern verfügbar.
Update vom 10.07.2013
Bluebox Security bietet nun eine App an, den kostenlosen Bluebox Security Scanner, die das Android-Gerät des Nutzers hinsichtlich des Bugs untersucht, eventuell bereits diese Sicherheitslücke ausnutzende Schadprogramme erkennen soll und warnt, wenn die Android-Einstellungen Installationen von Nicht-Market-Downloads ermöglicht.
Update vom 17.07.2013
Für Android-Smartphones mit Root-Zugriff bietet das Sicherheitsunternehmen Dou Sec das in Zusammenarbeit mit der Bostener Northeastern University entwickelte Patch ReKey an. Es soll die Schwachstelle schliessen und zusätzlich melden, falls eine App versucht, die Schwachstelle auszunutzen.
Wie bereits beschrieben, ist die Lücke in den neuen Versionen des Android-Ablegers CyanogenMod mit dem von Google für Android bereit gestellten Patch bereits geschlossen worden.
Für Android-Geräte ohne Root-Zugriff ist die Sicherheits-App G Data MobileSecurity Version 2 eine Möglichkeit, die das Sicherheitsunternehmen G Data anbietet.
Update vom 26.07.2013
Die Sicherheitsexperten von Symantec haben Apps entdeckt, die die sogenannte Masterkey-Lücke ausnutzen. Bisher sind die Apps allerdings nur in asiatischen Markets aufgetaucht.
Hinterlasse jetzt einen Kommentar