Abo
  • Services:

Android: Zertifikatskette wird nicht geprüft

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

Artikel veröffentlicht am ,
Android prüft App-Zertifikate nur unzureichend.
Android prüft App-Zertifikate nur unzureichend. (Bild: Google/Screenshot: Golem.de)

Android führt die Prüfung von Zertifikaten offenbar nur unzureichend durch. Zu jeder App wird ein Zertifikat ausgestellt und mit installiert, über das sie normalerweise gegenüber dem System verifiziert wird. Eine bösartige App könnte sich mit einem Zertifikat einer anderen Anwendung verifizieren lassen, deren Zugriffsrechte sie nutzen könnte.

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. 1WorldSync GmbH, Köln

Die als Fake ID bezeichnete Schwachstelle ist laut Angaben des Entdeckers Bluebox Security in allen Versionen von Googles mobilem Betriebssystem seit Version 2.1 vorhanden. Die Entwickler bei Google hätten erst in Version 4.4 damit begonnen, die Schwachstelle zu beheben. In der Vorab-Version von Android 5 sei sie aber wieder enthalten.

Mehr Rechte durch gefälschte Zertifikate

Überprüft haben die Datenexperten bei Bluebox Security ihre Entdeckung anhand des offiziellen Zertifikats des Flash Players von Adobe. Dieser genießt weitreichende Rechte unter Android, da er auch von anderen Anwendungen genutzt werden kann. Noch gravierender sei es aber, wenn es bösartigen Apps gelänge, beispielsweise das Zertifikat von der offiziellen Bezahl-App Google Wallet zu verwenden.

Google habe sofort nach der Bekanntgabe der Schwachstelle einen Patch bereitgestellt, der sowohl an seine Android-Partner sowie an das AOSP-Projekt gegangen sei, schrieb ein Google-Sprecher an Ars Technica. Außerdem habe das Unternehmen sämtliche Apps in Google Play auf gefälschte Zertifikate untersucht. Dort seien bislang keine Hinweise gefunden worden, dass potentielle Angreifer die Schwachstelle bereits ausnutzten. Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 9,99€
  3. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)

Nerd_vom_Dienst 31. Jul 2014

Mal unabhängig davon dass den Text nicht richtig gelesen hast, spielt die ganze Thematik...

LoopBack 30. Jul 2014

Unwahrscheinlich, der Patch und die Lücke sind bereits seit April bekannt: https...

LoopBack 30. Jul 2014

... dann gibt es Panik. PANIK!!! Hier mal der Link zur Original-Quelle (den golem...


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Elektroautos: Ladesäulen und die Tücken des Eichrechts
Elektroautos
Ladesäulen und die Tücken des Eichrechts

Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
Eine Analyse von Friedhelm Greis

  1. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
  2. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos
  3. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse

Sony: Ein Kuss und viele Tode
Sony
Ein Kuss und viele Tode

E3 2018 Mit einem zärtlichen Moment in The Last of Us 2 hat Sony sein Media Briefing eröffnet - danach gab es teils blutrünstiges Gameplay plus Rätselraten um Death Stranding von Hideo Kojima.
Ein Bericht von Peter Steinlechner

  1. Smach Z ausprobiert Neuer Blick auf das Handheld für PC-Spieler
  2. The Division 2 angespielt Action rund um Air Force One
  3. Ghost of Tsushima Dynamischer Match im offenen Japan

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

    •  /