Fake ID: Fehler in Android macht App-Berechtigungen unwirksam

Schädliche Android-Anwendungen können die Berechtigungen legitimer Apps übernehmen. Betroffen sind alle Android-Versionen bis einschließlich 4.4 KitKat. Google hat bereits einen Patch entwickelt und an Geräte- und Mobilfunkanbieter sowie das Android Open Source Project verteilt.

Das Sicherheitsunternehmen Bluebox hat einen „Fake ID“ genannten Fehler in Android entdeckt, der es schädlichen Apps erlaubt, gefälschte Anmeldedaten an das Mobilbetriebssystem weiterzugeben. Dadurch kann die kryptografische Signatur der Anwendung nicht korrekt geprüft werden. Als Folge kann sie sich als eine beliebige andere App ausgeben und erhält deren Berechtigungen.

Android Fake ID (Bild: Bluebox Security)

Wie AppleInsider berichtet, ist die Sicherheitslücke sehr gefährlich, weil Google mehrere Anwendungen als besonders vertrauenswürdig einstuft und ihnen umfangreiche Rechte zugesteht. Eine schädliche App kann wiederum vorgeben, sie sei eine dieser vertrauenswürdigen Anwendungen und den Nutzer glauben machen, sie benötige keinerlei besondere Rechte. In Wirklichkeit hat die gefährliche App aber vollständigen Zugriff, beispielsweise auf persönliche Informationen, Finanzdaten und sogar in der Cloud gespeicherte Dateien.

Ähnlich wie unter iOS werden auch unter Android Anwendungen mit einem Zertifikat ihrer Entwickler signiert. Das Betriebssystem kann so die Echtheit einer App bestätigen und Manipulationsversuche aufdecken. Laut Bluebox versucht der Paket-Installer von Android jedoch nicht, die Echtheit der Zertifikatskette zu überprüfen, was Manipulationen und damit die Signierung von Apps mit gefälschten Zertifikaten erlaubt.

Bluebox hat dem Bericht zufolge Google schon vor drei Monaten über den Bug informiert. In der kommenden Woche wird Jeff Forristal, Chief Technology Officer von Bluebox, auf der Hackerkonferenz BlackHat USA 2014 weitere Details zu der Schwachstelle nennen.

Google hat gegenüber der BBC bestätigt, dass es bereits einen Fix für den Fehler mit der Nummer 13678484 entwickelt hat. „Wir sind dankbar, dass Bluebox die Anfälligkeit an uns gemeldet hat“, sagte eine Google-Sprecherin. Der Patch sei bereits an Partner und das Android Open Source Project weitergeleitet worden.

Bluebox weist laut AppleInsider außerdem darauf hin, dass sich eine schädliche App auch als Flash-Plug-in ausgeben kann. Zudem sei Android bis einschließlich Version 4.3.x anfällig für einen Fehler in der Flash-Webansicht des Betriebssystems, der eine unautorisierte Erweiterung von Nutzerrechten erlaube. Eine schädliche App könne so die App-Sandbox von Android verlassen und die Kontrolle über Anwendungen wie Salesforce oder Microsoft OneDrive übernehmen, Daten dieser Apps abfangen oder deren Netzwerkverkehr ausspähen.

Allerdings kann Fake ID auch die Rechte anderer Anwendungen wie Google Wallet übernehmen. Ein weiteres Einfallstor sei 3LM, eine Mobile-Device-Management-Komponente, die Google zusammen mit Motorola übernommen habe. Sie sei in Smartphones von Pantech, Sharp, Sony Ericsson und Motorola enthalten und erlaube eine teilweise oder vollständige Kompromittierung durch Malware.

Fake ID betrifft alle Android-Versionen ab 2.1 bis einschließlich Android 4.4. Um Nutzer zu schützen, die über ihre Gerätehersteller oder Mobilfunkprovider zeitnah kein Update erhalten, prüft Google die in seinem Play Store angebotenen Apps auf Fake ID. Auch die Funktion Verify Apps wurde laut Google erweitert, um Nutzer zu schützen. „Wir haben alle in Google Play eingereichten Apps gescannt und keine Hinweise darauf gefunden, dass diese Anfälligkeit ausgenutzt wurde“, teilte Google mit.

[mit Material von Stephen J. Vaughan-Nichols, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Bluebox Security, Google, Malware, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu Fake ID: Fehler in Android macht App-Berechtigungen unwirksam

Kommentar hinzufügen
  • Am 30. Juli 2014 um 11:27 von Mathias

    Meine Güte hört das denn mit dieser Frickelware nie auf.?
    Aber Hauptsache it´s open.
    Liebe Androiduser alles was offen ist ,kann nicht dicht sein.

    • Am 30. Juli 2014 um 11:59 von Florian Kalenda

      „alles was offen ist ,kann nicht dicht sein.“ – Gegenbeispiel: meine Kaffeetasse.

      • Am 31. Juli 2014 um 0:09 von Hehehe

        Auch, wenn sie die Tasse auf den Kopf drehen? Wenn ich mein iPhone auf den Kopf drehe, ist es dennoch ‚dicht‘ (sicher). ;-)

    • Am 30. Juli 2014 um 12:23 von C

      @Mathias

      Brauchen andere OS-Plattformen (z. B. iOS, WP, OSX, Windows, Linux, Unixe und zOS) keine Security-Patches?

      Ihrer generellen Einschätzung nach sind das dann alles ebenso „Frickel-Ware“, oder?

      • Am 31. Juli 2014 um 0:07 von Jawoll

        Doch schon, aber die betreffen nicht 50-100% der Geräte, und im Gegensatz zu Android WERDEN die Bugs bei Blackberry, iOS und Win Phone gefixed – bei Android passiert nix, die Kunden werden von Google und den Herstellern im Stich gelassen.

        Da ist dann die Kritik mehr als berechtigt, das kann man nicht mit ‚alle haben Bugs‘ schönreden.

        Kurz: Bugs haben auch andere, aber im Monatstakt kritische, ungefixte Bugs hat nur Android.

  • Am 30. Juli 2014 um 12:26 von C

    Google muss sein System des Patchen von Android massiv ändern und diese direkt (ohne Umweg über die HW-Hersteller) schnell zur Verfügung stellen.

    Auch müssen die Support-Zyklen m.E.n. massiv verlängert werden. 18/24 Monate für eine OS-Plattform sind nicht ausreichend.

    Ich nutze mein HTC HD2 (06/2009) nur Dank Custom-ROM heute noch ohne Probleme. Die beiden Hersteller haben mich als Kunden längst „links liegen gelassen“, was meine zukünftige Kauf-Entscheidung beeinflussen wird.

  • Am 1. August 2014 um 9:31 von Marco

    Was kann ich tun, wenn mir der Bug 13678484 angezeigt wird?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *