Google hat sich der von Bluebox Security veröffentlichten Sicherheitslücke angenommen, über die aufgrund eines "Master-Keys" in der Theorie manipulierte Apps auf dem Handy eingespielt werden können. Das neue Update wird inzwischen an die Hersteller verteilt, diese müssen es jedoch noch in ihre Firmwares integrieren.
Die IT-Sicherheitsforscher von Bluebox Security hatten vergangene Woche ein gravierendes Problem in der Methode öffentlich gemacht wie Android kryptographische Schlüssel signierter Apps überprüft. Angreifer könnten so zentrale Apps austauschen, ohne dass der User davon etwas bemerken würde. Betroffen ist praktisch jedes Android-Handy oder -Tablet mit mindestens Android 1.6. Einzige Ausnahme stellt nach aktuellem Stand das Galaxy S4 dar, bei diesem Gerät hat Samsung schon eigene Maßnahmen ergriffen.
Die kritische Frage ist nun wie schnell die Handy-Hersteller den Bugfix in ihre Firmwares übernehmen und wie schnell — und ob überhaupt — die Updates ausgerollt werden. Da unzählige Androiden betroffen sind, deren Support durch die Hersteller seit langem ausgelaufen ist, bleibt fraglich ob auch wirklich jeder Android-User ein Update für sein Handy erhalten wird.
Installieren Sie Apps nur aus dem Play Store
Auch wenn laut Bluebox über 900 Millionen Android-Geräte betroffen sind, betrifft die aktuelle Sicherheitslücke nur Geräte bzw. Personen, die Apps aus inoffiziellen Quellen installieren. Apps, die bei Google Play eingereicht werden, sind von Google geprüft und lassen sich vom Weg zum Play Store auf Ihr Gerät nicht modifizieren.
Gefährlicher denn je ist hingegen die Installation aus unbekannten Quellen via APK-Datei. Eine App, die sich als neueste Kamera-App von Android 4.3 ausgibt, ist vielleicht zwar die neueste Kamera-App von Android 4.3 aber enthält als blinder Passagier versteckte Modifikationen. Auch vom noch so tollen Spiel, das es gratis auf irgendeiner Webseite gibt, lassen Sie besser die Finger.
[UPDATE] CyanogenMod schon sicher
CyanogenMod-Entwickler Sven Daw hat auf der Android-User-Google+-Seite kommentiert, dass der Bugfix bereits heute morgen in die Nightly Builds der beliebten Aftermarket-Firmware übernommen wurde. User, die bei Cyanogenmod auf Puls der Zeit sind — also die Nightly Builds nutzen — bekommen also das Sicherheitsupdate beim nächsten Einspielen der Firmware automatisch auf das Handy.
Quelle: ZDNet