Handy-Betriebssystem: Android-Sicherheitslücke erlaubt Manipulation von Apps

Android-Smartphone: Sicherheitslücke erlaubt manipulierte Software Zur Großansicht
SPIEGEL ONLINE

Android-Smartphone: Sicherheitslücke erlaubt manipulierte Software

Eine neuentdeckte Sicherheitslücke stellt eine Gefahr für Android-Handys dar. Mit Hilfe manipulierter Apps könnten Angreifer Daten auslesen, Passwörter sammeln und Smartphones sogar vollständig kontrollieren, berichtet ein IT-Sicherheitsunternehmen.

Die Sicherheitslücke hat ein Forscherteam des Unternehmens Bluebox aufgedeckt. "Sie erlaubt es Hackern, eine App zu verändern, ohne ihre kryptografische Signatur zu zerstören", schreibt der Technikchef Jeff Forristal in einem Blogeintrag. So könne jede App zum Trojaner werden, ohne dass der Play Store, das Telefon oder der Nutzer selbst etwas davon merken würde. Die Sicherheitslücke soll mindestens seit der Android-Version 1.6 mit dem Namen "Donut" bestehen, die bereits Ende 2009 veröffentlicht wurde. Wie Apple Insider berichtet, wären damit 99 Prozent der in den letzten Jahren verkauften etwa 900 Millionen Geräte betroffen.

Um sicherzustellen, dass Angreifer keine veränderte Software unbemerkt auf Telefonen einschleusen, sind Apps mit einem Schlüssel signiert. Ähnlich dem Verfahren, das bei E-Mails eingesetzt wird, bestätigt dieser Schlüssel die Identität und Herkunft eines Programms. Die Sicherheitslücke erlaubt es aber, diese Verifikation auszuhebeln und so beliebige Befehle in Apps einzuschleusen, ohne dass dies auffällt. Auch Apps aus scheinbar sicherer Quelle könnten so Schadsoftware enthalten. Bisher ist nur bekannt, dass Samsung für das Galaxy S4 einen Patch veröffentlich hat, der die Lücke schließt. Andere Anbieter arbeiten noch an Lösungen.

Vom Datenklau über das Handy bis zur Kontrolle des Geräts sei alles möglich, schreibt Forristal. Es ließen sich so sogar Botnetze mit ferngesteuerten Smartphones aufbauen, da sich über die Lücke die Kommunikationseinstellungen des Telefons kontrollieren lassen. Ständig mit dem Internet verbundene, sich bewegende kleine Computer, die moderne Handys nun mal sind, seien für den Aufbau solcher Netze besonders interessant.

Bluebox hat die Lücke Google und den Mitgliedern der Open Handset Alliance bereits im Februar gemeldet. Eine genaue Beschreibung des Sicherheitsproblems will Jeff Forristal auf der Black Hat Sicherheitskonferenz Ende Juli in Las Vegas liefern.

kpg

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 16 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Na da bin ich mal gespannt
olaf_olafson 04.07.2013
Zitat von sysopEine neu entdeckte Sicherheitslücke stellt eine Gefahr für Android-Handys dar. Mit Hilfe manipulierter Apps könnten Angreifer Daten auslesen, Passwörter sammeln und Smartphones sogar vollständig kontrollieren, berichtet ein IT-Sicherheitsunternehmen. Android-Sicherheitslücke: Veränderte Apps nicht an Signatur erkennbar - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/gadgets/android-sicherheitsluecke-veraenderte-apps-nicht-an-signatur-erkennbar-a-909406.html)
... wie sich das entwickeln wird. Immerhin können die 4% mit der aktuellen Version ja in den nächsten Monaten mit einem Security Update rechnen. Eigentlich sollten jetzt so ziemlich alle Android User ihr Smartphone ausschalten. Aber wahrscheinlich bekommen das eh nur ein paar Prozent mit und denen ist es entweder egal oder sie haben die neueste Version aufgrund von Nexusgeräten oder Rootzugriff. Es wäre vielleicht gut, wenn ein verantwortungsbewusster Hacker mal großflächig Zugriff nimmt und allen Usern eine Botschaft auf den Bildschirm schickt um sie wachzurütteln.
2. Hier steht nix...
Nuppo 04.07.2013
...weil es nicht Apples iOS ist, sondern Googles offenes Scheunentor Android. Andernfalls wären die Basher schon aktiv. :-)
3. optional
seduro34 04.07.2013
Die Lücke gibt es schon seit 2009? Dann ist es ja fast peinlich, das erst nach 3 Jahren die Möglichkeit der App-Manipulation entdeckt wird. Aber was will jemand mit den illegal ausgespähten Daten? Viele Apps verlangen so viele Rechte, da kann man sich das Ausspähen getrost sparen. Und Bootnetze mit Handys? Bei 300 - 500 MB Volumen im Monat, dürften da wohl nur ein paar Bildchen gespannt werden. Also: alles wieder nur heiße Luft.
4. optional
Thomas C. 04.07.2013
Gerade in Zeiten von Prism, Tempora und Co sorgt sowas bei mir für ein ganz flaues Gefühl im Magen. Ich freue mich schon weitere Enthüllungen und die Erklärungsversuche der Verantwortlichen.
5.
liverbird 04.07.2013
1. Es hat 3 Jahre gedauert, bis ein Hacker den Bug entdeckt hat. Scheint ja echt offensichtlich zu sein. 2. Warum wird in anderen Medien berichtet, dass ein Einschleusen des Trojaners über Updates des Playstores nicht möglich ist? SPON behauptet was anderes? 3. Wieso nutzt SPON bei einem Bericht über Android appleinsider.com als Quelle? Ich meine klar, eine Seite über Apple wird in Bezug auf Andoid sicher sehr neutral berichten. Welcher Eurer Apple-Fanboy hat den Bericht denn geschrieben, liebes SPON-Team oder habt Ihr wieder einen Praktikanten rangelassen?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Gadgets
RSS
alles zum Thema Android
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 16 Kommentare


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.