Vorsicht: Android Fake-ID Bug simuliert Sicherheitszertifikat
Eine neue Sicherheitslücke im Android OS bedroht Millionen Mobile Devices. Das Team von Blue Box fand die gravierende Sicherheitslücke in Android und taufte diese mit dem passenden Namen Fake ID. Zugelassene Android Apps aus dem Google Play Store nutzen sogenannte Identitäts-Zertifikate, um sich während der Installation bei Android authentifizieren zu können. Zur Überprüfung werden diese Zertifikate dann online mit den hinterlegten Zertifikaten der Hersteller verglichen. Nur nach erfolgreicher Zertifikatsabfrage ist eine Installation möglich. Die Forscher haben jetzt aber herausgefunden, dass genau bei dieser Überprüfung die genutzte Zertifikatskette nicht ausreichend ausgebaut sei. Nutzt man diese Schwachstelle nun aus, ist es möglich, Identitäts-Zertifikate vorzutäuschen. So könnten dann schadhafte Apps unbemerkt auf das System zugreifen und sich tief in diesem einnisten.
Android Fake ID Bug Details nächste Woche
Um es Cyber-Kriminellen nicht leichter zu machen, als sie es bereits haben, verzichtete Blue Box auf eine Veröffentlichung der Bug-Details und meldete die Sicherheitslücke direkt an Google. Das Team wird nächste Woche genaue Details zum Bug auf der Black Hat Konferenz veröffentlichen, Google hat bereits erste Lücken geschlossen, bis kommende Woche sollte der Bug komplett behoben sein. Da der Bug alle Android Versionen von 2.1 bis 4.4 betrifft, ist davon auszugehen, dass Google mit Hochdruck an einer Lösung arbeitet. Leider häufen sich in letzter Zeit die Meldungen bzgl. kritischer Sicherheitslücken und gefährlichen Android-Trojaner. Es wäre wünschenswert, wenn hier schneller und effizienter an Lösungen gearbeitet werden würde, statt sich auf neue Gadgets, Rechtsstreite mit Smartphoneherstellern oder OS-Versionen-Updates zu beschränken. Wenn man bedenkt, dass auch dieser Bug von einem externen Team gefunden wurde, ist das schon irgendwie ein kleines Armutszeugnis für den Grosskonzern Google und seine Mitarbeiter.
Mehr zum Thema bei Bluebox