Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

Artikel veröffentlicht am ,
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen.
Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec)

Die in vielen Android-Versionen unzureichende Zertifikatsüberprüfung bei der Installation von Applikationen stammt wohl aus einem Fehler in Apaches Harmony. Die Apache Foundation entwickelte eine eigene Open-Source-Version der Java-Umgebung unter dem Namen Harmony. Google hatte bei der Entwicklung von Android auf Harmony zurückgegriffen, da der Suchmaschinenanbieter keine Lizenz für Java erhielt.

Stellenmarkt
  1. Wissenschaftliche*r Mitarbeiter*in (m/w/d) - Fachbereich "Modellierung und Simulation"
    BAM - Bundesanstalt für Materialforschung und -prüfung, Berlin
  2. Systemadministrator (m/w/d)
    GRIMME Landmaschinenfabrik GmbH & Co. KG, Damme
Detailsuche

Das Projekt Harmony wurde nach der Übernahme von Sun durch Oracle und die darauf folgende Klage Oracles gegen Google eingestellt. Da hatte Google bereits den Code des Projekts in Android integriert und unter dem Namen Dalvik-Engine weiterentwickelt, offenbar, ohne den Fehler zu bemerken. Bluebox Security hatte vor wenigen Tagen auf den gravierenden Fehler hingewiesen. Durch ihn können sich Malware-Apps mit gefälschten Zertifikaten verifizieren und dadurch auch systemweite Berechtigungen erlangen. Mit den entsprechenden Berechtigungen könnte dann auf Nutzerdaten oder sogar die Bezahlfunktionen von Google Wallet zugegriffen werden.

Fast alle Android-Versionen betroffen

Der Fehler wird als schwerwiegend eingestuft. Er sei von Google bereits entdeckt und in Android 4.4 zumindest teilweise behoben worden. Alle vorherigen Versionen seit Android 2.1 seien aber noch betroffen, schreibt Bluebox Security. Auch in der Vorabversion von Android 5.0 sei er noch vorhanden, sagte das auf IT-Sicherheit spezialisierte Unternehmen.

Google schreibt auf eine Anfrage der Webseite Ars Technica, das Unternehmen habe bereits einen Patch bereitgestellt. Außerdem wären sämtliche im Playstore verfügbaren Applikationen auf gefälschte Zertifikate untersucht worden. Aktuell gebe es dort keine Hinweise darauf, dass die Sicherheitslücke bereits ausgenutzt werde.

Golem Karrierewelt
  1. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    30.11.2022, virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
Weitere IT-Trainings

Bluebox Systems hat die Schwachstelle mit einem gefälschten Zertifikat für Adobes Flash Player ausprobiert. Damit konnte eine speziell präparierte App sämtliche Sicherheitskontrollen umgehen und auch aus ihrer Sandbox ausbrechen, in der jeweils einzelne Applikationen normalerweise nur mit speziell ihnen zugewiesenen Rechten laufen. Weitere Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Netztest
Telekom hat laut Connect das fast perfekte Mobilfunknetz

Bei der Reichweite der Breitbandversorgung überholt Telefónica den Konkurrenten Vodafone. Die Telekom erhält 952 von maximal 1.000 Punkten.

Netztest: Telekom hat laut Connect das fast perfekte Mobilfunknetz
Artikel
  1. Cybermonday: CPU-Kaufberatung für Spieler
    Cybermonday
    CPU-Kaufberatung für Spieler

    Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
    Von Martin Böckmann

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /