© Google

Sicherheitslücke
07/29/2014

Android-Fehler gestattet Apps gefährliche Privilegien

Ein Fehler in Androids App-Identifikation erlaubt es Software, eine falsche Identität anzunehmen, inklusive potenziell gefährlicher Rechte.

Wird eine App unter Android installiert, prüft das System, um was für eine App es sich handelt und ob dem Hersteller vertraut werden soll. Die Sicherheitsforscher von Bluebox Labs haben herausgefunden, dass dieser Prozess fehlerhaft ist, wie gizmodo berichtet. Durch mangelnde Gründlichkeit beim Checken der Zertifikate ist es Apps möglich, eine falsche Identität anzunehmen, weshalb die Lücke auch "Fake ID" genannt wird. Das kann ausgenutzt werden, indem Software programmiert wird, die etwa ein "Adobe Systems"-Zertifikat verwendet.

Die entsprechende App könnte dann die umfassenden Berechtigungen nutzen, die etwa dem Adobe Flash-Player normalerweise zugesprochen werden. So könnte HTML-Code in anderen Anwendungen ausgeführt werden. Auch andere Apps mit erweiterten Rechten könnten als Verkleidung herhalten.

Die Schwachstelle betrifft laut Bluebox Labs rund 82 Prozent aller Android-User, da sie in den ANdroid Versionen von 2.1 bis 4.4 vorkommt. Google wurde von Bluebox informiert und hat bereits einen Patch erstellt, der allerdings noch nicht an alle Partner ausgeliefert wurde. Nach heutigem Wissensstand handelt es sich bei der SIcherheitslücke noch um ein rein theoretisches Problem, bislang konnten die Sicherheitsforscher keine Schadsoftware finden, die sich den Fehler tatsächlich zunutzemacht.