Abo
  • Services:
Anzeige
Android prüft App-Zertifikate nur unzureichend.
Android prüft App-Zertifikate nur unzureichend. (Bild: Google/Screenshot: Golem.de)

Android: Zertifikatskette wird nicht geprüft

Android prüft App-Zertifikate nur unzureichend.
Android prüft App-Zertifikate nur unzureichend. (Bild: Google/Screenshot: Golem.de)

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

Anzeige

Android führt die Prüfung von Zertifikaten offenbar nur unzureichend durch. Zu jeder App wird ein Zertifikat ausgestellt und mit installiert, über das sie normalerweise gegenüber dem System verifiziert wird. Eine bösartige App könnte sich mit einem Zertifikat einer anderen Anwendung verifizieren lassen, deren Zugriffsrechte sie nutzen könnte.

Die als Fake ID bezeichnete Schwachstelle ist laut Angaben des Entdeckers Bluebox Security in allen Versionen von Googles mobilem Betriebssystem seit Version 2.1 vorhanden. Die Entwickler bei Google hätten erst in Version 4.4 damit begonnen, die Schwachstelle zu beheben. In der Vorab-Version von Android 5 sei sie aber wieder enthalten.

Mehr Rechte durch gefälschte Zertifikate

Überprüft haben die Datenexperten bei Bluebox Security ihre Entdeckung anhand des offiziellen Zertifikats des Flash Players von Adobe. Dieser genießt weitreichende Rechte unter Android, da er auch von anderen Anwendungen genutzt werden kann. Noch gravierender sei es aber, wenn es bösartigen Apps gelänge, beispielsweise das Zertifikat von der offiziellen Bezahl-App Google Wallet zu verwenden.

Google habe sofort nach der Bekanntgabe der Schwachstelle einen Patch bereitgestellt, der sowohl an seine Android-Partner sowie an das AOSP-Projekt gegangen sei, schrieb ein Google-Sprecher an Ars Technica. Außerdem habe das Unternehmen sämtliche Apps in Google Play auf gefälschte Zertifikate untersucht. Dort seien bislang keine Hinweise gefunden worden, dass potentielle Angreifer die Schwachstelle bereits ausnutzten. Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.


eye home zur Startseite
Nerd_vom_Dienst 31. Jul 2014

Mal unabhängig davon dass den Text nicht richtig gelesen hast, spielt die ganze Thematik...

LoopBack 30. Jul 2014

Unwahrscheinlich, der Patch und die Lücke sind bereits seit April bekannt: https...

LoopBack 30. Jul 2014

... dann gibt es Panik. PANIK!!! Hier mal der Link zur Original-Quelle (den golem...



Anzeige

Stellenmarkt
  1. Daimler AG, Kirchheim unter Teck
  2. über Ratbacher GmbH, Hamburg
  3. Bertrandt Services GmbH, Freiburg
  4. Springer Nature, Berlin


Anzeige
Top-Angebote
  1. 499,00€
  2. (u. a. F1 2016 24,99€, Killing Floor 2 13,49€, XCOM 2 Digital Deluxe Edition 21,99€)
  3. (-50%) 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  2. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  3. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  4. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver

  5. Vikings im Kurztest

    Tiefgekühlt kämpfen

  6. Deep Sea Mining

    Nautilus Minerals will Gold auf dem Meeresgrund abbauen

  7. Festplatten zerstören

    Wie man in 60 Sekunden ein Datencenter auslöscht

  8. Supercomputer

    HPE und BASF kooperieren für die industrielle Chemie

  9. Lufthansa

    Hyperloop könnte innerdeutsche Flüge ersetzen

  10. Blitzkrieg 3

    Neuronale-Netzwerke-KI für Echtzeit-Strategiespiel verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

  1. Re: Wie wär's der guten alten Verschlüsselung?

    _Winux_ | 16:28

  2. Re: inb4 Diskussion

    Ovaron | 16:27

  3. Re: Hoffentlich verlangt jemand von denen eine...

    lear | 16:26

  4. Re: Mit dem Transrapid hätte man...

    M.P. | 16:25

  5. Erst wenn sie nachts starten oder falsch spülen.

    dokape | 16:23


  1. 16:20

  2. 16:04

  3. 15:18

  4. 14:15

  5. 14:00

  6. 13:30

  7. 12:00

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel