Android-Bug hebelt Signatur bei App-Installation aus

In Google Smartphone-Betriebssystem Android sind zwei neue Sicherheitslücken entdeckt worden, die die meisten derzeit im Einsatz befindlichen Geräte betreffen könnten. Beide Bugs seien potenzielle Einfallstore für bösartigen Programmcode, teilten Saarbrücker Informatiker, die sich mit dem Problem beschäftigten, mit. Diese haben eine frei verfügbare App entwickelt, die Smartphones auf diese Sicherheitslücken überprüft und weitere darauf installierte Anwendungen durchleuchten soll.

Das Sicherheitsproblem entsteht dadurch, dass es beide Fehler ermöglichen, das Signaturverfahren, das während der Installation von neuen Apps abläuft, auszuhebeln. Ähnlich wie eine persönliche Unterschrift soll es für die Anwender sicherstellen, dass die Installationsdateien der neuen App nur von dem Entwickler ihres Vertrauens erstellt und im Nachhinein nicht verändert worden sind. Würden die Angreifer es dennoch versuchen, hielte die vorab erstellte Signatur nicht mehr der Überprüfung stand.

Genau das verhindern die beiden Sicherheitslücken aber. Die Installationspakete für die jeweilige App lassen sich so jederzeit manipulieren, ihre Signatur bleibt unverändert und der Anwender wähnt sich fälschlicherweise in Sicherheit, teilten die Informatiker mit. Auf diese Weise können die Angreifer nach Belieben bösartigen Code einschleusen und damit sowohl Daten als auch Geld des jeweiligen Besitzers entwenden. Beide Lücken hat Google mittlerweile in der neusten Android-Version 4.3 behoben, nachdem das Unternehmen von dem Problem in Kenntnis gesetzt wurde.

"Das hilft nicht viel, da viele Hersteller die von Google vorgenommene Ausbesserung noch gar nicht in die von ihnen modifizierte Android-Betriebssysteme eingebaut haben", sagte Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Viele Geräte seien somit immer noch ungeschützt, bis auch für sie ein Update bereitsteht - wenn sie denn für ihr Gerät überhaupt noch eines erhalten.