Artikel empfehlen

Sicherheitslücke: Manipulierte APKs erlauben Geräteübernahme in allen Android-Versionen


04.07.2013, 10:52 Uhr

android-malware-virus-viren-trojaner

Eine Lücke in Android, die seit vier Jahren und mindestens seit OS-Version 1.6 „Donut“ besteht, soll es möglich machen, dass Geräte komplett übernommen werden können. Dazu muss eine speziell präparierte App aus einer Nicht-Play Store-Quelle installiert sein. Nahezu jedes Android-Gerät soll für diesen Bug empfänglich sein – theoretisch.

Jeff Forristal, Sicherheitsexperte bei Bluebox, berichtet, dass es unter Ausnutzung einer Sicherheitslücke möglich sei, Android-Geräte praktisch komplett zu übernehmen: Mit einem Trojaner, der diese Methode verwendet, könnten Daten-Unholde E-Mails, Passwörter, Dokumente und SMS ausspähen, aber auch SMS versenden und Anrufe absetzen sowie unbemerkt Fotos aufnehmen oder das Gerät in ein Botnetz einbinden und fernsteuern. Im Rahmen der Responsible Disclosure wurde Google bereits im Februar über diesen Bug 8219321 informiert, damit der Konzern Zeit hat, einen Patch für die Lücke zu entwickeln.

Auch wenn eine genaue Beschreibung der Lücke und Details zur Funktionsweise eines Exploits noch nicht veröffentlicht wurden, gaben die Autoren bereits zu Protokoll, dass es sich um eine Methode handelt, bei der Code von APKs modifiziert werden kann, das System die Änderungen aber nicht registriert, da sich deren kryptographische Signatur nicht ändert. So kann eine entsprechend geänderte App praktisch alle Daten auf dem Gerät lesen und schreiben, unabhängig davon, ob diese in Systemverzeichnissen liegen und die App entsprechende Berechtigungen hat. Weitere Details zu dem Bug und die Geschichte der Entdeckung sollen auf der nächsten BlackHat-Konferenz Ende Juli in Las Vegas vorgestellt werden.

Muss man sich deswegen Sorgen machen oder gar einen Virenscanner installieren? Nein. Wer Apps nur aus dem Play Store bezieht und in den Sicherheitseinstellungen seines Geräts die Option zur Installation von Apps aus unsicheren Quellen deaktiviert lässt, hat nichts zu befürchten. Entsprechend ist auch der derzeitige Hype um einen angeblichen „Master Key“, mit dem angeblich 99% aller Geräte angreifbar seien, übertrieben – denn ein Großteil der Android-Nutzer weltweit wird diese Option nie angerührt haben.

Panik ist also nicht angebracht, wenn man seinen gesunden Menschenverstand benutzt. Ein reddit-User kommentiert die Erkenntnisse der Sicherheitsforscher so:

You mean if you install something without knowing what it is, you are putting your private data at risk? Wow! Android is soooo insecure!

Eben. Wer freilich APKs von Warezseiten aus dubiosen Quellen herunterlädt, sollte ohnehin besondere Vorsicht bei APK-Installationen walten lassen.

Quelle: Bluebox Security [via Hacker News]

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 5.00 von 5 - 3 Bewertung(en)
Loading ...
Folge androidnext auf Facebook