Die Kritiker, die behaupten Android wäre unsicher, erhalten gerade Rückendeckung durch eine neue Sicherheitslücke namens Fake ID. Android prüft die Zertifikate installierter Apps nur unzureichend und ermöglicht somit die Übernahme einer falschen Identität inklusive der gewährten Zugriffsrechte.
Auch interessant: Digify versieht sensible Dateien mit Kopierschutz und zerstört sie auf Wunsch nach dem Lesen
Auf der Black-Hat-Sicherheitskonferenz werden wir traditionsgemäß in wenigen Tagen eine Menge besorgniserregender Sicherheitslücken kennenlernen. Die Sicherheitsfirma Bluebox hat bereits eine Android-Sicherheitslücke bekannt gegeben, die auf der Konferenz im Detail vorgestellt wird. Fake ID ist auf den ersten Blick eine sehr besorgniserregende Sicherheitslücke, weil sie theoretisch über 80 Prozent aller Android-Geräte betrifft – Grund zur Panik gibt es dann allerdings doch nicht.
Wird eine App installiert, prüft Android anhand einer ID, ob es sich um eine vertrauenswürdige Anwendung handelt. Dieser Prozess ist allerdings fehlerhaft, wie Bluebox herausgefunden hat. Die Prüfung der Zertifikate ist nicht so gründlich, wie sie sein sollte und so ist es möglich, dass eine Anwendung sich mit der Identität einer vertrauenswürdigen App verifizieren lässt und somit deren Identität samt der gewährten Zugriffsrechte übernimmt. In der Praxis wurde dies zum Beispiel mit dem Adobe Flash Player demonstriert, der weitreichende Rechte besitzt, die auch andere Apps nutzen können.
Die Fake ID-Sicherheitslücke ist seit Android 2.1 bis zu Android 4.4 im Android-Quellcode vorhanden. Damit sind nach Googles offiziellen Versionszahlen rund 82 Prozent aller Android-Geräte betroffen. Dennoch gibt es derzeit keinen Grund in blinde Panik zu verfallen und das Smartphone oder Tablet aus dem Fenster zu schmeißen. Wie es sich gehört, hat Bluebox vor bekanntmachen der Sicherheitslücke Google darüber in Kenntnis gesetzt und dem Unternehmen die Möglichkeit gegeben, die Lücke zu stopfen. Google hat auch entsprechend schnell reagiert und einen Patch für das Problem in den AOSP-Code eingepflegt und diesen zudem an die OEMs herausgegeben.
Mit dem letzten Update wurden also zumindest die Nexus-Geräte von der Bedrohung befreit, aufgrund der berüchtigten Update-Problematik bleiben allerdings mehrere Milliarden Geräte anfällig. Kurioserweise hat Google den Patch offenbar allerdings noch nicht in den Quellcode zur Developer Preview von Android L eingepflegt, denn diese ist ebenfalls betroffen. Jedoch ist die Bedrohung nicht so groß, wie sie zunächst scheint, denn laut Aussage von Google konnte bisher keine Anwendung gefunden werden, die diese Lücke ausnutzt. Hoffen wir mal, dass dies so bleibt.
Quelle: Bluebox (via Futurezone)