• IT-Karriere:
  • Services:

Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Artikel veröffentlicht am ,
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen.
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec)

Die in vielen Android-Versionen unzureichende Zertifikatsüberprüfung bei der Installation von Applikationen stammt wohl aus einem Fehler in Apaches Harmony. Die Apache Foundation entwickelte eine eigene Open-Source-Version der Java-Umgebung unter dem Namen Harmony. Google hatte bei der Entwicklung von Android auf Harmony zurückgegriffen, da der Suchmaschinenanbieter keine Lizenz für Java erhielt.

Stellenmarkt
  1. VerbaVoice GmbH, München
  2. DrinkStar GmbH, Rosenheim

Das Projekt Harmony wurde nach der Übernahme von Sun durch Oracle und die darauf folgende Klage Oracles gegen Google eingestellt. Da hatte Google bereits den Code des Projekts in Android integriert und unter dem Namen Dalvik-Engine weiterentwickelt, offenbar, ohne den Fehler zu bemerken. Bluebox Security hatte vor wenigen Tagen auf den gravierenden Fehler hingewiesen. Durch ihn können sich Malware-Apps mit gefälschten Zertifikaten verifizieren und dadurch auch systemweite Berechtigungen erlangen. Mit den entsprechenden Berechtigungen könnte dann auf Nutzerdaten oder sogar die Bezahlfunktionen von Google Wallet zugegriffen werden.

Fast alle Android-Versionen betroffen

Der Fehler wird als schwerwiegend eingestuft. Er sei von Google bereits entdeckt und in Android 4.4 zumindest teilweise behoben worden. Alle vorherigen Versionen seit Android 2.1 seien aber noch betroffen, schreibt Bluebox Security. Auch in der Vorabversion von Android 5.0 sei er noch vorhanden, sagte das auf IT-Sicherheit spezialisierte Unternehmen.

Google schreibt auf eine Anfrage der Webseite Ars Technica, das Unternehmen habe bereits einen Patch bereitgestellt. Außerdem wären sämtliche im Playstore verfügbaren Applikationen auf gefälschte Zertifikate untersucht worden. Aktuell gebe es dort keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt werde.

Bluebox Systems hat die Schwachstelle mit einem gefälschten Zertifikat für Adobes Flash Player ausprobiert. Damit konnte eine speziell präparierte App sämtliche Sicherheitskontrollen umgehen und auch aus ihrer Sandbox ausbrechen, in der jeweils einzelne Applikationen normalerweise nur mit speziell ihnen zugewiesenen Rechten laufen. Weitere Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

chrulri 04. Aug 2014

Was ist denn das für ein Hersteller?

LoopBack 30. Jul 2014

Das runterladen im vorraus ist zwar möglich, aber nur zum betrachten. Routing ist dann...


Folgen Sie uns
       


Rahmenloser TV von Samsung (CES 2020)

Der fast unsichtbare Rand des Q950TS hat anscheinend nicht nur Vorteile.

Rahmenloser TV von Samsung (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /