Abo
  • Services:
Anzeige
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen.
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec)

Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Anzeige

Die in vielen Android-Versionen unzureichende Zertifikatsüberprüfung bei der Installation von Applikationen stammt wohl aus einem Fehler in Apaches Harmony. Die Apache Foundation entwickelte eine eigene Open-Source-Version der Java-Umgebung unter dem Namen Harmony. Google hatte bei der Entwicklung von Android auf Harmony zurückgegriffen, da der Suchmaschinenanbieter keine Lizenz für Java erhielt.

Das Projekt Harmony wurde nach der Übernahme von Sun durch Oracle und die darauf folgende Klage Oracles gegen Google eingestellt. Da hatte Google bereits den Code des Projekts in Android integriert und unter dem Namen Dalvik-Engine weiterentwickelt, offenbar, ohne den Fehler zu bemerken. Bluebox Security hatte vor wenigen Tagen auf den gravierenden Fehler hingewiesen. Durch ihn können sich Malware-Apps mit gefälschten Zertifikaten verifizieren und dadurch auch systemweite Berechtigungen erlangen. Mit den entsprechenden Berechtigungen könnte dann auf Nutzerdaten oder sogar die Bezahlfunktionen von Google Wallet zugegriffen werden.

Fast alle Android-Versionen betroffen

Der Fehler wird als schwerwiegend eingestuft. Er sei von Google bereits entdeckt und in Android 4.4 zumindest teilweise behoben worden. Alle vorherigen Versionen seit Android 2.1 seien aber noch betroffen, schreibt Bluebox Security. Auch in der Vorabversion von Android 5.0 sei er noch vorhanden, sagte das auf IT-Sicherheit spezialisierte Unternehmen.

Google schreibt auf eine Anfrage der Webseite Ars Technica, das Unternehmen habe bereits einen Patch bereitgestellt. Außerdem wären sämtliche im Playstore verfügbaren Applikationen auf gefälschte Zertifikate untersucht worden. Aktuell gebe es dort keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt werde.

Bluebox Systems hat die Schwachstelle mit einem gefälschten Zertifikat für Adobes Flash Player ausprobiert. Damit konnte eine speziell präparierte App sämtliche Sicherheitskontrollen umgehen und auch aus ihrer Sandbox ausbrechen, in der jeweils einzelne Applikationen normalerweise nur mit speziell ihnen zugewiesenen Rechten laufen. Weitere Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.


eye home zur Startseite
chrulri 04. Aug 2014

Was ist denn das für ein Hersteller?

LoopBack 30. Jul 2014

Das runterladen im vorraus ist zwar möglich, aber nur zum betrachten. Routing ist dann...



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Neckarsulm
  2. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden
  3. WKM GmbH, München
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Spiele-Angebote
  1. ab 59,99€ (Vorbesteller-Preisgarantie)
  2. 6,99€
  3. 3,00€

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Erster!!!

    Myxier | 22:28

  2. Re: Unsichtbare(!!!) Overlays....

    Myxier | 22:23

  3. Re: Meine Erfahrung als Störungssucher in Luxemburg

    Sharra | 22:13

  4. Mehr Techniker einstellen?

    ImAußendienst | 22:10

  5. Re: Habe nach meinen Umzug knapp ein halbes Jahr...

    Kleba | 21:42


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel