Ein Sicherheitsforscher hat auf eine neue Schwachstelle in Android hingewiesen, die es Angreifern ermöglicht, installierte Apps zu manipulieren. Sie steckt in allen Android-Versionen außer der neusten – Android 4.4 KitKat.
Die Schwachstelle hat Jay Freeman alias Saurik entdeckt, der durch seine iOS-Jailbreak-Hacks bekannt wurde. Ihm zufolge ist der Fehler der Master-Key-Lücke ähnlich, die Google im Februar gemeldet und im Juli öffentlich gemacht worden war. In beiden Fällen lassen sich Änderungen an Apps vornehmen, ohne dass der Besitzer des Geräts dies bemerken könnte.
Der Master-Key-Bug betraf alle Android-Versionen ab 1.6. Google reagierte unter anderem, indem es in Google Play alle Apps blockierte, die den Fehler ausnutzten.
Die neue, aber mit dieser verwandte Lücke hat Freeman im Juli bemerkt und umgehend Google gemeldet. So kommt es, dass Android 4.4 sie schließt. Freeman zufolge ist sie „schwächer“ als der „Master Key“-Bug und eine andere verwandte Sicherheitslücke. Sie kann aber durchaus eingesetzt werden, um etwa Jailbreaks von Android-Versionen vor 4.4 durchzuführen.
Laut Paul Ducklin von Sophos hängt der Fehler mit dem Umgang von Android mit ZIP-Behältern zusammen, die in Androids App-Dateiformat APK Verwendung finden. Für sie gibt es separate Module, um sie zu laden und zu überprüfen. Ihnen kann ein Angreifer unterschiedliche Dateiversionen vorlegen. „Einfach gesagt: Der Loader kann Malware vorgelegt bekommen, die der Verifikator nie zu sehen bekommt“, schreibt Ducklin in einem Blogeintrag.
Die Frage ist nun, wann Fixes für diese Lücke die Endgeräte erreichen werden. „Obwohl Google die erste Schwachstelle im Februar sorgfältig von Bluebox vorgelegt bekommen hat, gab es für die Nexus-Gerätefamilie erst im Juli (mit Android 4.3) eine Korrektur, und viele fremde Geräte sind heute noch ungepatcht. In einem zweiten Fall lief es noch schlechter. Hoffentlich führt die dritte Schwachstelle zu mehr Aktualisierungen“, schreibt Freeman.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Android KitKat verhindert Manipulation installierter Apps
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.