• IT-Karriere:
  • Services:

Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Artikel veröffentlicht am ,
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen.
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec)

Die in vielen Android-Versionen unzureichende Zertifikatsüberprüfung bei der Installation von Applikationen stammt wohl aus einem Fehler in Apaches Harmony. Die Apache Foundation entwickelte eine eigene Open-Source-Version der Java-Umgebung unter dem Namen Harmony. Google hatte bei der Entwicklung von Android auf Harmony zurückgegriffen, da der Suchmaschinenanbieter keine Lizenz für Java erhielt.

Stellenmarkt
  1. procilon Group GmbH, Berlin
  2. Kyberg Pharma Vertriebs-GmbH & Co. KG, Oberhaching bei München

Das Projekt Harmony wurde nach der Übernahme von Sun durch Oracle und die darauf folgende Klage Oracles gegen Google eingestellt. Da hatte Google bereits den Code des Projekts in Android integriert und unter dem Namen Dalvik-Engine weiterentwickelt, offenbar, ohne den Fehler zu bemerken. Bluebox Security hatte vor wenigen Tagen auf den gravierenden Fehler hingewiesen. Durch ihn können sich Malware-Apps mit gefälschten Zertifikaten verifizieren und dadurch auch systemweite Berechtigungen erlangen. Mit den entsprechenden Berechtigungen könnte dann auf Nutzerdaten oder sogar die Bezahlfunktionen von Google Wallet zugegriffen werden.

Fast alle Android-Versionen betroffen

Der Fehler wird als schwerwiegend eingestuft. Er sei von Google bereits entdeckt und in Android 4.4 zumindest teilweise behoben worden. Alle vorherigen Versionen seit Android 2.1 seien aber noch betroffen, schreibt Bluebox Security. Auch in der Vorabversion von Android 5.0 sei er noch vorhanden, sagte das auf IT-Sicherheit spezialisierte Unternehmen.

Google schreibt auf eine Anfrage der Webseite Ars Technica, das Unternehmen habe bereits einen Patch bereitgestellt. Außerdem wären sämtliche im Playstore verfügbaren Applikationen auf gefälschte Zertifikate untersucht worden. Aktuell gebe es dort keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt werde.

Bluebox Systems hat die Schwachstelle mit einem gefälschten Zertifikat für Adobes Flash Player ausprobiert. Damit konnte eine speziell präparierte App sämtliche Sicherheitskontrollen umgehen und auch aus ihrer Sandbox ausbrechen, in der jeweils einzelne Applikationen normalerweise nur mit speziell ihnen zugewiesenen Rechten laufen. Weitere Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Sandisk-Speicherprodukte)
  2. 80,90€
  3. Gutscheincodes und Deals im Überblick
  4. mit 3.298€ neuer Bestpreis auf Geizhals

chrulri 04. Aug 2014

Was ist denn das für ein Hersteller?

LoopBack 30. Jul 2014

Das runterladen im vorraus ist zwar möglich, aber nur zum betrachten. Routing ist dann...


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
Next-Gen-Konsolen: Das erste Quartal mit Playstation 5 und Xbox Series X/S
Next-Gen-Konsolen
Das erste Quartal mit Playstation 5 und Xbox Series X/S

Rückblick und Ausblick: Meine ersten drei Monate mit den neuen Konsolen von Sony und Microsoft - und was sich bei der Firmware getan hat.
Von Peter Steinlechner

  1. Sony Zusatz-SSD macht offenbar die Playstation 5 lauter
  2. Sony Playstation-5-Spieler müssen wohl noch warten
  3. Playstation 5 Analogsticks des Dualsense halten wohl nur 400 Stunden durch

Videokonferenzen: Bessere Webcams, bitte!
Videokonferenzen
Bessere Webcams, bitte!

Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
Ein IMHO von Martin Wolf

  1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

    •  /