Android: Zertifikatskette wird nicht geprüft

Android führt die Prüfung von Zertifikaten offenbar nur unzureichend durch. Zu jeder App wird ein Zertifikat ausgestellt und mit installiert, über das sie normalerweise gegenüber dem System verifiziert wird. Eine bösartige App könnte sich mit einem Zertifikat einer anderen Anwendung verifizieren lassen, deren Zugriffsrechte sie nutzen könnte.

Die als Fake ID bezeichnete Schwachstelle ist laut Angaben des Entdeckers Bluebox Security in allen Versionen von Googles mobilem Betriebssystem seit Version 2.1 vorhanden. Die Entwickler bei Google hätten erst in Version 4.4 damit begonnen, die Schwachstelle zu beheben. In der Vorab-Version von Android 5 sei sie aber wieder enthalten.

Mehr Rechte durch gefälschte Zertifikate

Überprüft haben die Datenexperten bei Bluebox Security ihre Entdeckung anhand des offiziellen Zertifikats des Flash Players von Adobe. Dieser genießt weitreichende Rechte unter Android, da er auch von anderen Anwendungen genutzt werden kann. Noch gravierender sei es aber, wenn es bösartigen Apps gelänge, beispielsweise das Zertifikat von der offiziellen Bezahl-App Google Wallet zu verwenden.

Google habe sofort nach der Bekanntgabe der Schwachstelle einen Patch bereitgestellt, der sowohl an seine Android-Partner sowie an das AOSP-Projekt gegangen sei, schrieb ein Google-Sprecher an Ars Technica. Außerdem habe das Unternehmen sämtliche Apps in Google Play auf gefälschte Zertifikate untersucht. Dort seien bislang keine Hinweise gefunden worden, dass potentielle Angreifer die Schwachstelle bereits ausnutzten. Details zu der Schwachstelle will Bluebox Security auf der Black Hat 2014 vorstellen.