Samsung-Handy

Sicherheitsrelevante Signaturschlüssel, u.a. von Samsung, wurden geleaked

© APA/AFP/JUNG YEON-JE / JUNG YEON-JE

Digital Life

Samsungs Android-Signaturschlüssel gestohlen und für Malware genutzt

Damit erhält signierte Malware umfangreichen Zugriff auf Systemkomponenten.

Dieser Artikel ist älter als ein Jahr!

Damit ein Smartphone weiß, dass ein Betriebssystem-Update tatsächlich von dem Hersteller kommt, gibt es spezielle Zertifikate. Mit jenen sind die Images signiert, um ihre Herkunft zu garantieren. Das soll möglichst hohe Sicherheit bieten. Dasselbe Prinzip wird auch für Apps angewendet, besonders heikel sind hier Systemapps, etwa von Google oder dem Gerätehersteller. Sie haben besonders umfangreiche Zugriffsrechte auf das System. Deswegen sind die Signaturschlüssel von Hardware-Herstellern extrem wertvoll und sensibel für die Sicherheit.

Nun wurden die App-Signaturschlüssel mehrerer großer Hersteller geleakt. Entdeckt hat das Łukasz Siewierski vom Android Security Team. Demnach werden die Keys bereits dazu verwendet, Malware zu signieren. Zu den betroffenen Unternehmen zählen etwa Samsung, LG und Mediatek, wie Ars Technica berichtet.

So signierte Malware kann unter android.uid.system mit höchsten Privilegien agieren. “Leute, das ist ganz und gar nicht gut”, schreibt der Sicherheitsexperte Mishaal Rahman auf Twitter. Die Software kann so mit denselben Berechtigungen laufen, wie das Android-System selbst.

6 Jahre alte Keys

Die Geschichte hat noch eine weitere, bemerkenswerte Facette: So gab Samsung auf Anfrage von XDA an, dass das Unternehmen seit 2016 von dem Leak weiß. Das passt auch dazu, dass die erste so signierte Malware in genau diesem Jahr bei VirusTotal eingereicht wurde. Laut Samsung seien keine Vorfälle bekannt, bei denen es aufgrund des Schlüssels zu Schaden kam. 

Wenngleich vieles an der Geschichte noch im Dunklen liegt, muss man in diesem Zusammenhang erneut darauf hinweisen, dass Sideloading von Apps außerhalb von Google Play mehr denn je eine schlechte Idee ist. So spuckt die Suche nach den geleakten Zertifikaten etwa bei APKmirror noch hunderte Apps aus. 

Zwar rutscht auch im Play Store immer wieder die ein oder andere Malware-App durch, es gibt aber zumindest ein gewisses Basis-Level an Sicherheit, worauf auch Ars Technica verweist. 

Offizielle Stellungnahmen von anderen betroffenen Unternehmen gibt es bislang noch nicht.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 04.12.2022, 12:19 Uhr

Mehr zum Thema

Kommentare