Abo
  • Services:
Anzeige
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen.
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec)

Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Anzeige

Die in vielen Android-Versionen unzureichende Zertifikatsüberprüfung bei der Installation von Applikationen stammt wohl aus einem Fehler in Apaches Harmony. Die Apache Foundation entwickelte eine eigene Open-Source-Version der Java-Umgebung unter dem Namen Harmony. Google hatte bei der Entwicklung von Android auf Harmony zurückgegriffen, da der Suchmaschinenanbieter keine Lizenz für Java erhielt.

Das Projekt Harmony wurde nach der Übernahme von Sun durch Oracle und die darauf folgende Klage Oracles gegen Google eingestellt. Da hatte Google bereits den Code des Projekts in Android integriert und unter dem Namen Dalvik-Engine weiterentwickelt, offenbar, ohne den Fehler zu bemerken. Bluebox Security hatte vor wenigen Tagen auf den gravierenden Fehler hingewiesen. Durch ihn können sich Malware-Apps mit gefälschten Zertifikaten verifizieren und dadurch auch systemweite Berechtigungen erlangen. Mit den entsprechenden Berechtigungen könnte dann auf Nutzerdaten oder sogar die Bezahlfunktionen von Google Wallet zugegriffen werden.

Fast alle Android-Versionen betroffen

Der Fehler wird als schwerwiegend eingestuft. Er sei von Google bereits entdeckt und in Android 4.4 zumindest teilweise behoben worden. Alle vorherigen Versionen seit Android 2.1 seien aber noch betroffen, schreibt Bluebox Security. Auch in der Vorabversion von Android 5.0 sei er noch vorhanden, sagte das auf IT-Sicherheit spezialisierte Unternehmen.

Google schreibt auf eine Anfrage der Webseite Ars Technica, das Unternehmen habe bereits einen Patch bereitgestellt. Außerdem wären sämtliche im Playstore verfügbaren Applikationen auf gefälschte Zertifikate untersucht worden. Aktuell gebe es dort keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt werde.

Bluebox Systems hat die Schwachstelle mit einem gefälschten Zertifikat für Adobes Flash Player ausprobiert. Damit konnte eine speziell präparierte App sämtliche Sicherheitskontrollen umgehen und auch aus ihrer Sandbox ausbrechen, in der jeweils einzelne Applikationen normalerweise nur mit speziell ihnen zugewiesenen Rechten laufen. Weitere Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.


eye home zur Startseite
chrulri 04. Aug 2014

Was ist denn das für ein Hersteller?

LoopBack 30. Jul 2014

Das runterladen im vorraus ist zwar möglich, aber nur zum betrachten. Routing ist dann...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Bremen, Bremen
  2. Robert Bosch GmbH, Stuttgart-Vaihingen
  3. Robert Bosch Start-up GmbH, Renningen
  4. über Duerenhoff GmbH, Raum Kamen


Anzeige
Top-Angebote
  1. 44,99€ statt 60,00€

Folgen Sie uns
       


  1. Sega

    Valkyria Chronicles 4 setzt erneut auf Kitsch im Krieg

  2. Drohnenhersteller

    DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

  3. Förderung

    Bayern bezahlt Schließung von Mobilfunklücken

  4. Indiegames-Rundschau

    Von Weltraumpiraten und dem Wunderdoktor

  5. Xbox One

    Microsoft beseitigt Blu-ray-HDR-Bug

  6. FDP steigt aus

    Jamaika-Sondierungen gescheitert

  7. Honor 7X

    Smartphone im 2:1-Format mit verbesserter Dual-Kamera

  8. Sofortbild

    Polaroid verklagt Fujifilm wegen quadratischer Fotos

  9. ARM-Server

    Cray und Microsoft nutzen Caviums Thunder X2

  10. Autonomes Fahren

    Großbritannien erlaubt ab 2019 fahrerlose Autos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphoneversicherungen im Überblick: Teuer und meistens überflüssig
Smartphoneversicherungen im Überblick
Teuer und meistens überflüssig
  1. Winphone 5.0 Trekstor will es nochmal mit Windows 10 Mobile versuchen
  2. Librem 5 Das freie Linux-Smartphone ist finanziert
  3. Aquaris-V- und U2-Reihe BQ stellt neue Smartphones ab 180 Euro vor

Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Cubesats: Startup steuert riesigen Satellitenschwarm von Berlin aus
Cubesats
Startup steuert riesigen Satellitenschwarm von Berlin aus
  1. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  2. SAEx Internet-Seekabel für Südatlantikinsel St. Helena
  3. Sputnik Piep, piep, kleiner Satellit

  1. Re: Frage zum Tab

    1e3ste4 | 10:55

  2. Re: Auf die Reihenfolge kommt es an

    ChMu | 10:55

  3. Re: Bei knapp 1 Million Wohnungslosen

    quineloe | 10:54

  4. Totale Inkompetenz

    ubuntu_user | 10:54

  5. Re: Falsch bzgl der Wahlgänge

    theFiend | 10:52


  1. 10:50

  2. 10:32

  3. 10:15

  4. 10:15

  5. 10:02

  6. 09:52

  7. 09:00

  8. 08:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel