Abo
  • Services:

Android: Zertifikatskette wird nicht geprüft

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

Artikel veröffentlicht am ,
Android prüft App-Zertifikate nur unzureichend.
Android prüft App-Zertifikate nur unzureichend. (Bild: Google/Screenshot: Golem.de)

Android führt die Prüfung von Zertifikaten offenbar nur unzureichend durch. Zu jeder App wird ein Zertifikat ausgestellt und mit installiert, über das sie normalerweise gegenüber dem System verifiziert wird. Eine bösartige App könnte sich mit einem Zertifikat einer anderen Anwendung verifizieren lassen, deren Zugriffsrechte sie nutzen könnte.

Stellenmarkt
  1. INSYS MICROELECTRONICS GmbH, Regensburg
  2. connect IT-Solutions GmbH, Darmstadt

Die als Fake ID bezeichnete Schwachstelle ist laut Angaben des Entdeckers Bluebox Security in allen Versionen von Googles mobilem Betriebssystem seit Version 2.1 vorhanden. Die Entwickler bei Google hätten erst in Version 4.4 damit begonnen, die Schwachstelle zu beheben. In der Vorab-Version von Android 5 sei sie aber wieder enthalten.

Mehr Rechte durch gefälschte Zertifikate

Überprüft haben die Datenexperten bei Bluebox Security ihre Entdeckung anhand des offiziellen Zertifikats des Flash Players von Adobe. Dieser genießt weitreichende Rechte unter Android, da er auch von anderen Anwendungen genutzt werden kann. Noch gravierender sei es aber, wenn es bösartigen Apps gelänge, beispielsweise das Zertifikat von der offiziellen Bezahl-App Google Wallet zu verwenden.

Google habe sofort nach der Bekanntgabe der Schwachstelle einen Patch bereitgestellt, der sowohl an seine Android-Partner sowie an das AOSP-Projekt gegangen sei, schrieb ein Google-Sprecher an Ars Technica. Außerdem habe das Unternehmen sämtliche Apps in Google Play auf gefälschte Zertifikate untersucht. Dort seien bislang keine Hinweise gefunden worden, dass potentielle Angreifer die Schwachstelle bereits ausnutzten. Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.



Anzeige
Top-Angebote
  1. 6,99€
  2. 5,55€
  3. 7,42€
  4. 359,99€ (Vergleichspreis ab 437,83€)

Nerd_vom_Dienst 31. Jul 2014

Mal unabhängig davon dass den Text nicht richtig gelesen hast, spielt die ganze Thematik...

LoopBack 30. Jul 2014

Unwahrscheinlich, der Patch und die Lücke sind bereits seit April bekannt: https...

LoopBack 30. Jul 2014

... dann gibt es Panik. PANIK!!! Hier mal der Link zur Original-Quelle (den golem...


Folgen Sie uns
       


Nokia 1 - Test

Das Nokia 1 ist HMD Globals günstigstes Android-Smartphone, wirklich Spaß macht die Nutzung uns allerdings nicht. Trotz Android Go weist das Gerät Leistungsschwächen auf.

Nokia 1 - Test Video aufrufen
Xperia XZ2 Compact im Test: Sonys kompaktes Top-Smartphone bleibt konkurrenzlos
Xperia XZ2 Compact im Test
Sonys kompaktes Top-Smartphone bleibt konkurrenzlos

Sony konzentriert sich beim Xperia XZ2 Compact erneut auf die alte Stärke der Serie und steckt ein technisch hervorragendes Smartphone in ein kompaktes Gehäuse. Heraus kommt ein kleines Gerät, das kaum Wünsche offenlässt und in dieser Größenordnung im Grunde ohne Konkurrenz ist.
Ein Test von Tobias Költzsch

  1. Xperia XZ2 Premium Sony stellt Smartphone mit lichtempfindlicher Dualkamera vor
  2. Sony Grundrauschen an Gerüchten über die Playstation 5 nimmt zu
  3. Playstation Sony-Chef Kaz Hirai verabschiedet sich mit starken Zahlen

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

    •  /