Android-Lücke in allen Android-Versionen: Dalvik-Engine
Kommentare

Das Geheimnis um die unzureichende Zertifikatsüberprüfung in Android wurde gelüftet: Die vier Jahre alte Sicherheitslücke stammt aus Apaches Harmony und betrifft alle Android-Versionen ab 2.1 bis heute. Der IT-Sicherheitspezialist Bluebox Systems hat die Schwachstelle mit der Bezeichnung „FakeID“ vor einigen Tagen entdeckt und sofort in einem Blogeintrag darauf hingewiesen.

FakeID für systemweite Berechtigungen

Sie erlaubt es Malware-Apps, sich mit gefälschten Zertifikaten zu verifizieren und dadurch systemweite Berechtigungen zu erhalten. Diese werden bereits bei der Installation der Apps vergeben. Dadurch können Nutzerdaten entwendet und auch Dienste wie unter anderem der Bezahldienst von Google Wallet ausgenutzt werden. Betroffen sind jedoch theoretisch sämtliche Applikationen. Eine Ausnahme bildet Android 4.4, wo der Bug durch den Umstieg von webkit auf Chromium zumindest teilweise behoben wurde. Google hat auf Harmony zurückgegriffen, weil man damals keine Lizenz für Java erhalten hatte. 

Das Projekt Harmony, die Java-Implementierung von Sun, wurde nach der Übernahme von Sun durch Oracle im November 2011 eingestellt. Zu dieser Zeit hatte Google den Harmony-Code bereits im AOSP implementiert und weiterentwickelt. Android-Nutzern dürfte die Bezeichnung Dalvik-Engine geläufiger sein. 

Android L ebenfalls betroffen

Auch Android L sei teilweise noch betroffen, schrieb Bluebox Security. Google antwortete auf eine entsprechende Anfrage des Tech-Magazins Ars Technica, man habe bereits einen Patch bereitgestellt. Außerdem seien alle Apps im Play Store auf gefälschte Zertifikate überprüft worden und es gebe aktuell keine Hinweise darauf, dass die Sicherheitslücke ausgenutzt wird.

Bluebox Systems hat den Fehler als schwerwiegend eingestuft. Zur Demonstration hat das auf IT-Sicherheit spezialisierte Unternehmen die Schwachstelle mit einem gefälschten Zertifikat für den Adobe Flash Player getestet. Eine speziell programmierte Malware-App konnte sämtliche Sicherheitsvorkehrungen umgehen und sogar aus ihrer Sandbox-Umgebung ausbrechen, in der Android-Apps normalerweise mit ihren zugewiesenen Berechtigungen isoliert laufen. Konkret heißt das, dass eine Schad-App Zertifikate für weitere Apps fälschen und die Anwendungen somit kontrollieren könnte. Mehr Details zu der Sicherheitslücke wird Bluebox Systems auf der Black Hat 2014 vorstellen.

Aufmacherbild: Tablet and lock with keys. via Shutterstock / Urheber: disfera

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -