Sicherheitsforscher: 99 Prozent aller Android-Apps lassen sich in Trojaner verwandeln

Bluebox Security zufolge steckt das Problem in der Signierung von Android-Programmen. Es wurde spätestens mit Android 1.6 eingeführt. Eine Fehlerbehebung ist angeblich nur durch ein Firmware-Update möglich.

Bluebox Security weist auf eine vier Jahre alte Sicherheitslücke in Android hin, aufgrund derer sich angeblich etwa 99 Prozent aller Apps in einen Trojaner umfunktionieren lassen. „Diese spätestens mit Android 1.6 eingeführte Schwachstelle könnte jedes in den letzten vier Jahren gestartete Android-Smartphone betreffen – also etwa 900 Millionen Geräte“, schreibt CTO Jeff Forristal in einem Blogbeitrag.

Android-Malware

Der Veröffentlichung zufolge lassen sich Anwendungen so modifizieren, dass sie Daten stehlen und diese an ein Botnetz schicken, ohne dass dies Google Play, das Telefon oder der Nutzer bemerken könnten. Das Kernproblem steckt Bluebox zufolge im Verfahren zur Verifizierung und Installation von Android-Apps. Eine kryptografische Signatur soll hier Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies scheint anzudeuten, dass es sich schlicht um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal liefert in seinem Blogbeitrag keine weiteren Details – und lässt diese Frage offen. Auch legt er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll.

Forristal hat nach eigenen Angaben Google informiert und der Fehler die Identifikationsnummer 8.219.321 zugewiesen bekommen. Google wollte keinen Kommentar abgeben. In der Fehler-Datenbank des Android Open Handset Alliance Project findet sich die Schwachstelle nicht. Die Nummern dort reichen erst bis etwa 57.000.

Forristal zufolge kann die Schwachstelle nur behoben werden, indem Endgeräte-Hersteller ihre Firmware aktualisieren. Zudem müssten die Nutzer erst einmal informiert werden, wie sie ein Firmware-Update ausführen können. Auf der Konferenz Black Hat 2013 (ab 27. Juli in Las Vegas) will er die Schwachstelle detailliert schildern.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Android, Bluebox Security, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher: 99 Prozent aller Android-Apps lassen sich in Trojaner verwandeln

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *