Bluebox: Sicherheitslücke in allen Android-Versionen

In allen noch in Gebrauch befindlichen Android-Versionen ist von der Sicherheitsfirma Bluebox eine Sicherheitslücke entdeckt worden. Sie ist bereits seit Android 1.6 alias Donut vorhanden. Bisher hat das Galaxy S4 von Samsung als einziges Android-Gerät ein Update erhalten, mit dem das Sicherheitsloch geschlossen wurde, wie die australische Webseite CIO berichtet.

Bluebox hat Google nach eigener Aussage bereits im Februar 2013 auf den Fehler hingewiesen. Im März 2013 soll Google seinerseits dann die Hersteller von Android-Geräten darüber informiert haben. In der Android-Basisversion hat Google das Sicherheitsloch bislang nicht gestopft, so dass auch alle Nexus-Modelle noch angreifbar sind. Wann Google und die anderen Hersteller von Android-Geräten entsprechende Patches veröffentlichen, ist derzeit nicht bekannt.

Das Sicherheitsloch ermöglicht es Angreifern, den Code einer App zu verändern, ohne dass dabei die kryptographische Signatur modifiziert wird. Unbefugte könnten so Schadcode in eine vorhandene App einschleusen und müssten den Nutzer dann nur noch zur Installation der betreffenden Datei verleiten. Eigentlich sollte das System in einem solchen Fall darauf hinweisen, dass der Code der Installationsdatei verändert wurde.

Wenn es einem Angreifer gelingt, eine derart manipulierte Datei auf das Android-Gerät zu bekommen, erhält er Zugriff auf das Gerät. Dabei kann er all das tun, was die unveränderte App ebenfalls kann. Es hängt also von der Basis-App ab, was für Möglichkeiten der Angreifer erlangt. Eine Rechteausweitung soll nicht möglich sein.

Bei der Installation von Android-Apps sollten Nutzer daher besonders darauf achten, von wem die Installationsdatei stammt, rät Bluebox. Nur wenn der Nutzer ganz sicher ist, dass er dem Anbieter der App vertraut, sollte er die betreffende Datei installieren.