Die IT-Sicherheitsforscher von Bluebox Security haben ein gravierendes Problem in der Methode gefunden wie Android kryptographische Schlüssel signierter Apps überprüft. Angreifer könnten so zentrale Apps austauschen, ohne dass der User davon etwas bemerken würde.
Im Normalfall wird vom Android-System bei der Installation von Updates einer Apps ein kryptographische Schlüssel überprüft. Passt der Schlüssel, mit dem die neue App signiert wurde, nicht mit dem ursprünglichen Key des Entwicklers zusammen, wird die Installation der möglicherweise kompromittierten Anwendung abgebrochen und eine Warnmeldung ausgegeben.
Die IT-Spezialisten von Bluebox haben nun einen Weg gefunden den Inhalt eines APK-Installationspakets zu ändern, ohne dass sich dabei die Signatur des kryptographische Schlüssel ebenfalls ändert. Android bemerkt also nicht, dass dem System hier eine manipulierte Anwendung untergeschoben wird.
Installieren Sie gewollt oder auch ungewollt Apps über andere Quellen als den Google Play Store (etwa über alternative Markets, per E-Mail zugesandte APK-Dateien oder Phishing-Webseiten) wäre es möglich, dass systemnahe Anwendungen ohne Ihre Kenntnis ausgetauscht werden. In der Theorie ließe sich aus einem Android-Smartphone ein wandelndes Zombie-Phone machen, das aus der Ferne gesteuert wird.
Das Problem wurde Google bereits im Februar 2013 mitgeteilt, bisher aber noch nicht im Quellcode von Android behoben. Nach Informationen des Online-Magazins The Verge hat bisher nur Samsung in der Firmware des Samsung Galaxy S4 den Fehler per Patch gefixt. Für andere Geräte — selbst für Googles Nexus-Reihe — gibt es bisher noch keine Updates.
Bluebox kann den Fehler seit Android 1.6 in allen Android-Versionen nachvollziehen. Dies stellt gerade Android-User mit älteren Geräten vor ein Problem: Viele Hersteller haben den Support Ihrer Handys bereits eingestellt, oft werden nicht einmal Sicherheitsupdates mehr angeboten. Es ist bisher auch nicht klar, ob das Untersagen der Installation von Apps „Unbekannter Herkunft“ in den Android-Einstellungen das Risiko mindert.
Bis Bluebox Ende Juli auf der Hacker-Konferenz Blackhat USA 2013 das Problem der Öffentlichkeit detailliert erläutert, sollten Sie bei der Installation von Apps abseits des Play Stores ganz besondere Vorsicht walten lassen und genau darauf achten, ob die Datei auch wirklich vom Entwickler stammt. Überprüfen Sie dazu den MD5-Code der APK-Datei, den jeder verantwortungsbewusste Entwickler eigentlich veröffentlichen sollte.
Wie kann ich mich schützen?
Auch wenn laut Bluebox 900 Millionen Android-Geräte betroffen sind, betrifft die aktuelle Sicherheitslücke nur Geräte bzw. Personen, die Apps aus inoffiziellen Quellen installieren. Apps, die bei Google Play eingereicht werden, sind von Google geprüft und lassen sich vom Weg zum Play Store auf Ihr Gerät nicht modifizieren. Gefährlicher denn je ist hingegen die Installation aus unbekannten Quellen via APK-Datei. Eine App, die sich als neueste Kamera-App von Android 4.3 ausgiebt, ist vielleicht zwar die neueste Kamera-App von Android 4.3 aber enthält nebenbei noch viel mehr. Auch vom noch so tollen Spiel, das es gratis auf irgendeiner Webseite gibt, lassen Sie besser die Finger.
