Android-Systemfehler: Apps mit Schadcode aber gültiger Signatur
A vulnerability that has existed in Android for the past four years can allow hackers to modify any legitimate and digitally signed application in order to transform it into a Trojan program that can be used to steal data or take control of the OS.
Die gute Nachricht: Apps aus Googles Play Store sind nicht betroffen. Die schlechte Nachricht: Apps aus unbekannter Quelle ist es möglich die kryptographische Signatur jeder Anwendung so umzuschreiben, dass sie gegenüber dem System weiterhin als valide gilt.
Bluebox Labs dokumentiert die weitreichenden Folgen des von ihnen aufgespürten (und im Februar an Google berichteten) Bugs in einem Blogpost. Die Sicherheitslücke ist laut eigener Aussage seit Android 1.6 im mobilen Betriebssystem und damit mittlerweile auf einer dominierenden Anzahl von androiden (Smart-)Phones vertreten. In der Update-Pflicht stehen jetzt die Geräteanbieter.
It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question.
Jeff Forristal | Bluebox CTO
Sprich: Diese Security-Aktualisierungen werden nie kommen. Konsequenz: Wem seine Daten etwas wert sind, bleibt auf unabsehbare Zeit im abgeschirmten 'Walled Garden' des Google Play Stores1.
- Wer keinen Play Store auf seinem Telefon findet, so wie auf mehreren Millionen Geräten im asiatischen Markt, hat Pech. ↩