Bluebox Labs – das Unternehmen ist auf das Finden von Sicherheitslücken spezialisiert – hat eine Schwäche in der Signaturverifikation von Android 1.6 gefunden. Diese erlaubt das Unterschieben von manipulierten .apk-Dateien auf allen im Handel befindlichen Telefonen (mit Ausnahme des SGS4).
Im Grunde genommen geht es dabei darum, dass jede .apk-Datei vor der Auslieferung mit einer Signatur versehen wird. Diese hat die Aufgabe, die Herkunft der Datei eindeutig festzulegen. Den Signierungsprozess solltet ihr euch wie eine Rechnung vorstellen, bei der der Dateiinhalt mit dem privaten Schlüssel des Entwicklers “verwurstet” wird – nur wer den privaten Schlüssel besitzt, kann eine geänderte Datei signieren.
Auf diese Art und Weise können bösartige Personen “vertrauenswürdige” Dateien mit zusätzlichem Schadcode versehen. So wird aus dem Facebook-Client schnell ein Trojaner, der sich aber als von FaceBook erstelltes Programm ausgibt.
Da die Schwäche schon in Android 1.6 besteht, sind auch spätere Versionen des Betriebssystems anfällig (Bildquelle: Manu Cornet)
Google weiß seit Februar 2013 von der Schwäche – laut den Forschern ist der Play Store mittlerweile gegen “manipulierte APKs” abgesichert. Somit haben es Angreifer schwerer, die Dateien an den Mann zu bringen – der offizielle Applikationsstore scheidet als Quelle für manipulierte APKs aus.
Allerdings: Android ist ein offenes Betriebssystem, jeder Nutzer kann beliebige Applikationen auf seinem Handy installieren. Daraus folgt, dass die Hacker ohne Weiteres auf einen Store von einem Drittanbieter umsteigen könnten. In diesem Fall würde die im Play Store gehostete Applikation eine “Schwäche bzw Versionsveraltung” feststellen, und den User danach zum Download einer anderswo deponierten .apk-Datei animieren – schon ist der Schadcode am Telefon.
Leider wirkt Google’s Patch nicht auf die diversen Endgeräte: hier obliegt es den Herstellern, ihre Kunden mittels Patch abzusichern. Die Vielzahl von Seiten der Hersteller “aufgegebenen” Geräten wird hier zu einem zusätzlichen Problem: wenn die Produzenten für ihre alte Hardware keine Updates bzw. Patches anbieten, so haben Angreifer immer ein gewisses Grundpotential an verwundbaren Telefonen zu ihrer Verfügung.
Microsoft steht im PC-Bereich vor einem ähnlichen Problem. 2014 sollte der Support für Windows XP auslaufen – die Billionen von mit diesem System laufenden Anlagen wären ab diesem Zeitpunkt den diversen Angriffen schutzlos ausgeliefert.
Bluebox verspricht, im Rahmen der später in diesem Monat stattfindenden Black Hat-Konferenz weitere Details bekanntzugeben – dieses in Las Vegas abgehaltene Traditionsevent dient seit jeher als Bühne für das Vorstellen derartiger Hacks.
Denkt ihr, dass Angreifer diese Sicherheitslücke in naher Zukunft ausnutzen? Eure Meinung interessiert uns – bitte schreibt doch ein Kommentar!
Quelle: The Verge
