Sicherheitsforscher warnen vor neuer kritischer Android-Lücke
Andreas Proschofsky
29. Juli 2014, 15:44
App-ID-Prüfung funktioniert nicht richtig - Umfassender Zugriff möglich
- Potentiell Millionen Geräte betroffen
Als Bluebox Security vor rund einem Jahr eine Lücke offenlegte, mit der
sich die Signaturprüfung von Android austricksen ließ, sorgte dies für
einiges Aufsehen. Nun können die Sicherheitsexperten mit einem neuen Bug
aufwarten, den man in seiner Auswirkung für noch deutlich kritischer
hält. Lassen sich damit doch potentiell private Daten auf dem Smartphone
auslesen.
Vorgespiegelt
Wie Bluebox herausgefunden hat, funktioniert die ID-Prüfung bei der
Installation einer neuen App nämlich nicht korrekt. Dadurch sei es
möglich, dass sich Apps gegenüber dem System als anderes Programm
ausgeben können. Das ist deswegen so problematisch, da es in Android
eine Handvoll Apps gibt, für die das System Ausnahmen von den sonstigen
Sicherheitsregeln erlaubt, um ihre volle Funktionstüchtigkeit zu
garantieren.
Beispiele
Dazu gehören etwa das Adobe Flash-Plugin, das einst erweiterte Rechte im
Browser zugesprochen bekommen hat, die bis heute in Android fix
definiert sind. Ein zweites Beispiel ist ein Programm der Firma 3LM, das
auf den Geräten einige Hersteller zum Gerätemanagement verwendet wird.
Über Letzteres könnte dann beispielsweise eine Spyware-App einen
ziemlich umfassenden Zugriff auf betroffene Android-Geräte bekommen.
Desweiteren könnte sich eine App noch als Google Wallet ausgeben und so
Finanztransaktionsdaten auslesen, wie die Sicherheitsforscher betonen.
Geschichte
Laut Bluebox wurde Google bereits im April über das Problem informiert,
und hat mittlerweile auch einen Patch erstellt, der an die eigenen
Partner weitergeleitet wurde. So soll Motorola bereits einige seiner
Geräte durch ein Firmwareupdate geschützt haben. In einem kurzen Test
scheint die Lücke auf einem Nexus 5 sowohl mit Android 4.4.4 als auch
mit dem Android L Preview allerdings noch nicht geschlossen zu sein. Wie
Situation bei anderen Herstellern aussieht ist derzeit noch unklar.
Im Detail
Noch komplizierter wird die Situation dadurch, dass der Fehler in
Android 4.4 zwar noch prinzipiell vorhanden ist, sich aber bereits nicht
mehr überall ausnutzen lässt. So wurde in “KitKat” der Angriffsvektor
über das Annehmen der ID von Adobe Flash durch den Wechsel auf das
Chromium Webview - unabsichtlich - ausgehebelt. Und die Attacke mittels
3LM funktioniert ohnehin nur auf jenen Geräten, die auch die
entsprechenden Extensions nutzen, wozu etwa HTC, Sony und Motorola
gehören.
Maßnahmen
Da der Bug seit der Version 2.1 in Android besteht, und bei vielen
Geräten wohl keine Chance auf eine Update mehr besteht, versucht Google
aber noch auf anderem Weg die Ausnutzung der Lücke zu verhindern.
Gegenüber Arstechnica verweist das Unternehmen darauf, dass man
mittlerweile das gesamte Google-Play-Angebot nach Apps abgesucht hat,
die diese Lücke auszunutzen versuchen - ohne Ergebnis. Auch sonst sind
bislang keine aktiven Angriffe gegen diese Lücke bekannt. Darüber hinaus
werden mittlerweile alle neuen Apps und App-Updates vor der
Veröffentlichung bei Google Play automatisiert gescannt, der
aktualisierte Malware-Scanner der Google Play Services soll bei der
Installation von extern bezogenen Programmen schützen.
Warnung
Bei Bluebox warnt man trotzdem eindringlich vor der Lücke. Diese könnte
potentiell wesentlich ernsthaftere Auswirkungen als der Bug in der
Signaturprüfung haben, da die neue Lücke wesentlich leichter auszunutzen
sei. Wer überprüfen will, ob das eigene Gerät betroffen ist, kann den
Bluebox Security Scanner installieren, der in der aktuellsten Version
auch auf das Vorhandensein der “Fake ID”-Lücke testet. Weitere
Informationen zu dem Problem sollen im Rahmen eines Vortrags auf der
Sicherheitskonferenz Black Hat präsentiert werden. (Andreas Proschofsky,
derStandard.at, 29.7.2014)
Link
Android Fake ID Vulnerability Lets Malware Impersonate Trusted
Applications, Puts All Android Users Since January 2010 At Risk
http://derstandard.at/2000003671570/Sicherheitsforscher-warnen-vor-kritischer-Fake-ID-Luecke-bei-Android