„Fake ID“-Sicherheitslücke bedroht Milliarden Android-Geräte

Das amerikanische Sicherheitsunternehmen Bluebox Security hat eine gefährliche Sicherheitslücke im mobilen Betriebssystem Android ausfindig gemacht. Die Sicherheitslücke besteht bereits seit Januar 2010, was bedeutet, dass Milliarden Geräte davon betroffen sind, genau genommen alle Geräte die mit Android-Versionen zwischen 2.1 und 4.4 ausgestattet sind.

Was ist die Ursache des Fehlers?

Die Lücke steckt im Paket-Installer von Android und entsteht, weil das Betriebssystem die kryptografischen Signaturen von Apps nicht genau überprüft. Für gewöhnlich sind Apps mit einer Signatur der Hersteller ausgestattet, um ihre Echtheit und Sicherheit zu verifizieren. Diese wird allerdings vom Installer nicht genau kontrolliert, wodurch schädliche Apps durch gefälschte Zertifikate das System überlisten können und im schlimmsten Fall die gleichen Zugriffsrechte wie die wichtigsten System-Apps des Android-Geräts erhalten. Das bedeutet: Selbst wenn eine App beim Download angibt, keine besonderen Zugriffsrechte zu benötigen, kann sie mit einem gefälschten Zertifikat aus der gesicherten App-Sandbox ausbrechen und auf die sensiblen Nutzerdaten zugreifen, ohne dass der User etwas davon mitbekommen könnte. Gerne gefälscht wird z.B. die Signatur des Abobe Flash-Players, weil das Programm Zugriff auf weite Teile des Systems hat. Wenn ein Programm mit einer solchen Lizenz ausgestattet ist, erhält es bei der Installation automatisch die gleichen Rechte.

Wozu Signaturen?

App-Signaturen spielen eine wichtige Rolle im Android-Sicherheitssystem.

Bestimmte Zugriffsrechte, die sensible Daten und die Kernfunktionen des Systems betreffen, sind nur einigen wenigen Programmen vorenthalten, so z.B. Adobe-Apps, die bestimmte Rechte benötigen, um das Flash Plugin zu unterstützen, das von zahlreichen Anwendungen benötigt wird. Apps, die über solche Rechte verfügen, können Konfigurationen am Gerät vornehmen und viele Datensätze überwachen, damit sich nicht groß damit auseinandersetzen muss und somit Arbeit erspart wird. Dass gefährliche und nicht vertrauenswürdige Anwendungen Grundeinstellungen der Geräte verändern können und frei auf die Daten auf dem Gerät zugreifen können, ist hingegen sicherlich nicht im Sinne des Users, wird aber durch die lasche Sicherheitsüberprüfung ermöglicht. Erschwerend kommt hinzu, dass Android erlaubt, eine App mit mehreren Signaturen auszustatten. Ein Hacker könnte folglich eine App mit verschiedenen Signaturen ausstatten, um entsprechend auch die Zugriffsrechte auf verschiedene Bereiche des Geräts zu erhalten.

Wie wird das Problem behoben?

Google hat das Problem bereits in Angriff genommen: Mit einem Update des Google Playstores sowie der Verifizierungsfunktion des Paket-Installers wurden bereits Schritte in die Wege geleitet, um die Sicherheitslücke zu schließen. Damit ist das Problem allerdings noch nicht behoben, da die Problembehandlung auch von den Geräteherstellern umgesetzt werden muss. Eine solche Verbesserung geschieht laut Bluebox Security in den folgenden drei Schritten:

  1. Google behebt den Fehler im Programmcode und sendet den neuen Code an die Hersteller.
  2. Die Hersteller bauen den neuen Code in ihre Firmware ein und senden Update-Informationen an alle entsprechenden Geräte.
  3. Das Update wird auf den Geräten installiert und die Sicherheitslücke wird geschlossen.

Was kann ich selbst tun, um mein Gerät zu schützen?

Wer sich nicht darauf verlassen möchte, dass Google und die Smartphone-Hersteller zügig die Schritte zur Behebung des Fehlers in die Wege zu leiten, hat ein paar Möglichkeiten, um sich auch eigenständig vor den Gefahren von Fake ID zu schützen und das Gerät sicherer zu machen:

  1. Zunächst sollte festgestellt werden, ob das Handy überhaupt von dem Fehler betroffen ist. Bluebox Security hat im Android Playstore speziell zu diesem Zweck den Bluebox Security Scanner bereit gestellt. Mit dem Programm lässt sich zügig herausfinden, ob Fake ID ein Problem darstellt.
  2. Der Scanner einer hochwertigen Antiviren-Software für das Smartphone ist zwar nicht in der Lage die Betrügerei der gefälschten Zertifikate zu durchschauen, aber das muss er auch gar nicht, weil er dazu in der Lage ist, gefährliche Anwendungen im Allgemeinen vom Betriebssystem fernzuhalten, egal ob mit oder ohne Zertifikat-Tricks ausgestattet. Nicht nur zu diesem Zweck sollte ein Android-Telefon mit einer solchen Software gerüstet sein: Inzwischen ist die Virenzahl, die es auf das Google-Betriebssystem abgesehen hat, so groß, dass ein Smartphone grundsätzlich genauso geschützt werden sollte wie ein Rechner.
  3. Viele kostenpflichtige Antiviren Suites für Android verfügen über nützliche Zusatzfunktionen. Eine davon ist in diesem Fall besonders nützlich: Die Programme überwachen genau, welche Apps auf welche Daten oder Anwendungen zugreifen. So lässt sich effektiv und schnell herausfinden, wenn etwas auf dem Telefon nicht mit rechten Dingen zugeht.
  4. Grundsätzlich sollten App Stores von Drittanbietern gemieden werden, da sich dort die meiste Malware für Android herumtreibt. Der Google Playstore ist zwar durchaus auch nicht zu 100% sicher, aber die Gefahr einer Infektion ist dort sehr viel unwahrscheinlich als auf anderen zwielichten App-Marktplätzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.