News 17.07.2013, 10:52 Uhr

Tipps zur gegenwärtigen Android-Sicherheitslücke

Es gibt inzwischen schon zwei Varianten der kürzlich bekannt gewordenen Android-Schwachstelle, die für eine Lücke in der Verifikation der Android-Apps sorgen. Google selber bietet erste Updates an. Eine Security-Firma und eine Universität in Boston haben weitere Tools entwickelt.
Inzwischen wurde eine weitere Masterkey-Lücke im Android-Betriebssystem entdeckt, bei der ebenfalls die ausführbaren APK-Android-Dateien manipuliert werden können. Dazu müsse nur der Header einer solchen APK-Datei modifiziert werden. Auch solchen APK-Dateien mit geänderten Header-Informationen könne Schadcode hinzugefügt werden, ohne dass die Signatur ungültig wird.
Die Sicherheitsfirma Bluebox warnte bereits vor zwei Wochen vor einer ähnlichen Lücke, die offenbar seit Android-Version 1.6 bestehe, wonach geschätzte 99 Prozent aller Android-Geräte betroffen wären. Bis jetzt haben erst das HTC One und Samsungs Galaxy S4 das erste offzielle Sicherheits-Update von Google erhalten.
Allgemeine Tipps
Folgende Ratschläge können Sie bis jetzt befolgen:
Sie können im Play Store einen Security Scanner von Bluebox herunterladen (Voraussetzung: mindestens Android-Version 2.2). Mit diesem Tool können Sie alle auf Ihrem Gerät installierten Apps nach Schadcode scannen. Das Security Tool wird vielen Medienberichten zufolge als wertvoll und zuverlässig eingestuft. Das Tool scannt jedoch nur bereits installierte Anwendungen und behebt nicht die Sicherheitslücke. 
Bluebox-Tool: Ist Ihr Android-System angreifbar, blendet Bluebox die Meldung «Unpatched/vulnerable» ein – andernfalls erscheint der Eintrag «Patched»
Des Weiteren sollten Sie es vermeiden, Apps aus zweifelhaften Quellen zu installieren. Wer sich beispielsweise gerippte Apps aus dem Schwarzmarkt auf sein Phone lädt, setzt sich klar einem höheren Risiko aus. Deaktivieren Sie unter Einstellungen/Sicherheit die Option «Unbekannte Herkunft», um zusätzlich das Risiko einzudämmen, nicht-offizielle Google Apps zu installieren.
Hier einfach das Häkchen entfernen bei «Unbekannte Herkunft»
Da es sich aber um einen Exploit handelt, der sich in offiziell signierte Apps einnisten kann, lohnt es sich wirklich, Reviews und App-Kommentare zu lesen und nicht auf die Schnelle etwas «Spannendes» herunterzuladen. Ausserdem ist es sinnvoll, immer die neuste Android-Version zu installieren, sofern verfügbar. Darin liegt aber genau das Problem: Solche Updates dauern in der Regel sehr lange oder kommen erst gar nicht mehr! Daher können Sie im Moment bei älteren Geräten höchstens die empfehlenswerte App von Bluebox anwenden und die allgemeinen Sicherheitsvorkehrungen befolgen. 
Weitere Patch-Möglichkeiten – jedoch in eigener Regie
Daneben gibt es neu einige alternative Update-Möglichkeiten, wofür Sie aber den Root-Zugang zu Ihrem Gerät benötigen:
Der Sicherheitsanbieter Dou Sec hat in Zusammenarbeit mit der Northeastern University in Boston ein Tool entwickelt, mit dem, von jeder Android-Version ausgehend, der neuste Sicherheits-Patch aufgespielt werden kann. Ausserdem gibt es in der Custom-Mod-Szene vor allem bei Cyanogen schon sehr viele Firmware-Images mit dem neusten Patch für viele Geräte. Wir verzichten an dieser Stelle bewusst auf weitere Tipps rund ums Rooten und Modding, da das Rooten auf eigene Gefahr erfolgt. 
Anmerkung: Letztere Variante ist auf dem aktuelleren Stand. Bluebox hat die kürzlich bekannt gewordene (zweite) Lücke im Masterkey Exploit erst oberflächlich beschrieben und wollte sie an der Black-Hat-Konferenz noch umfassend beschreiben.

Autor(in) Simon Gröflin



Kommentare
Es sind keine Kommentare vorhanden.