Fake ID: Fehler in Android macht App-Berechtigungen unwirksam

Das Sicherheitsunternehmen Bluebox hat einen „Fake ID“ genannten Fehler in Android entdeckt, der es schädlichen Apps erlaubt, gefälschte Anmeldedaten an das Mobilbetriebssystem weiterzugeben. Dadurch kann die kryptografische Signatur der Anwendung nicht korrekt geprüft werden. Als Folge kann sie sich als eine beliebige andere App ausgeben und erhält deren Berechtigungen.

Wie AppleInsider berichtet, ist die Sicherheitslücke sehr gefährlich, weil Google mehrere Anwendungen als besonders vertrauenswürdig einstuft und ihnen umfangreiche Rechte zugesteht. Eine schädliche App kann wiederum vorgeben, sie sei eine dieser vertrauenswürdigen Anwendungen und den Nutzer glauben machen, sie benötige keinerlei besondere Rechte. In Wirklichkeit hat die gefährliche App aber vollständigen Zugriff, beispielsweise auf persönliche Informationen, Finanzdaten und sogar in der Cloud gespeicherte Dateien.

Ähnlich wie unter iOS werden auch unter Android Anwendungen mit einem Zertifikat ihrer Entwickler signiert. Das Betriebssystem kann so die Echtheit einer App bestätigen und Manipulationsversuche aufdecken. Laut Bluebox versucht der Paket-Installer von Android jedoch nicht, die Echtheit der Zertifikatskette zu überprüfen, was Manipulationen und damit die Signierung von Apps mit gefälschten Zertifikaten erlaubt.

Bluebox hat dem Bericht zufolge Google schon vor drei Monaten über den Bug informiert. In der kommenden Woche wird Jeff Forristal, Chief Technology Officer von Bluebox, auf der Hackerkonferenz BlackHat USA 2014 weitere Details zu der Schwachstelle nennen.

Google hat gegenüber der BBC bestätigt, dass es bereits einen Fix für den Fehler mit der Nummer 13678484 entwickelt hat. „Wir sind dankbar, dass Bluebox die Anfälligkeit an uns gemeldet hat“, sagte eine Google-Sprecherin. Der Patch sei bereits an Partner und das Android Open Source Project weitergeleitet worden.

Bluebox weist laut AppleInsider außerdem darauf hin, dass sich eine schädliche App auch als Flash-Plug-in ausgeben kann. Zudem sei Android bis einschließlich Version 4.3.x anfällig für einen Fehler in der Flash-Webansicht des Betriebssystems, der eine unautorisierte Erweiterung von Nutzerrechten erlaube. Eine schädliche App könne so die App-Sandbox von Android verlassen und die Kontrolle über Anwendungen wie Salesforce oder Microsoft OneDrive übernehmen, Daten dieser Apps abfangen oder deren Netzwerkverkehr ausspähen.

Allerdings kann Fake ID auch die Rechte anderer Anwendungen wie Google Wallet übernehmen. Ein weiteres Einfallstor sei 3LM, eine Mobile-Device-Management-Komponente, die Google zusammen mit Motorola übernommen habe. Sie sei in Smartphones von Pantech, Sharp, Sony Ericsson und Motorola enthalten und erlaube eine teilweise oder vollständige Kompromittierung durch Malware.

Fake ID betrifft alle Android-Versionen ab 2.1 bis einschließlich Android 4.4. Um Nutzer zu schützen, die über ihre Gerätehersteller oder Mobilfunkprovider zeitnah kein Update erhalten, prüft Google die in seinem Play Store angebotenen Apps auf Fake ID. Auch die Funktion Verify Apps wurde laut Google erweitert, um Nutzer zu schützen. „Wir haben alle in Google Play eingereichten Apps gescannt und keine Hinweise darauf gefunden, dass diese Anfälligkeit ausgenutzt wurde“, teilte Google mit.

[mit Material von Stephen J. Vaughan-Nichols, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de