iPhoneBlog.de iPhoneBlog.de
van Alex Olma
30. Juli 2014 – 1:31 Uhr

‚Fake ID‘: ein neuer Android-Super-Bug

Frage: Was haben die Android-Versionen 2.1 bis 4.3 gemeinsam? Antwort: Eine Sicherheitslücke beim Signieren von Software, die das Einschleusen von Schadecode erlaubt, der sich dann den weitreichenden Zugriffsrechten von Systemdiensten bemächtigt, um anschließend (potenziell) das komplette Gerät zu übernehmen.

Bluebox Labs, das Team, das bereits im letzten Jahr den ‚Master Key’-Bug offenlegte, umriss das aktuelle Ausmaß gegenüber BBC News so:

„Master Key did allow a whole device to be taken over… but the user had to be duped into a couple of decisions before the malware would be able to achieve its goal,“ he explained.

”Fake ID unfortunately occurs in a manner that is hidden to the user – there’s no prompts, no notifications, no need for special permissions.“

In einem Statement für Ars Technica kommentierte Google die gefälschten Ausweise (deshalb die Bezeichnung ‚Fake ID‘) in seinem mobilen Betriebssystem wie folgt: Der Google-Play-Store ist „sauber“1; ein Patch an die Android Partner sowie das Android Open Source Project ist verteilt.

Unerwähnt bleibt: Tatsächlich ausgeliefert wird dieser Bugfix natürlich nur auf einem minimalen Prozentsatz aller betroffenen Geräte2 – wenn überhaupt. Bluebox Security weiß derzeit nur von einem einzigen Partner (Motorola), der bislang ein Update auf ausgewählte Geräte schickte.

Natürlich ist kein System absolut (und dauerhaft) sicher. Fehler passieren. Auch iOS stolperte wiederholt über grobe Nachlässigkeiten. Deshalb ist das ausschlaggebende Kriterium heutzutage, wie schnell sich aufgedeckte Sicherheitslücken wieder stopfen lassen.

Und ebendeshalb ist dieses Kuchendiagramm so wichtig:

IPhoneBlog de iOS7 90 Prozent

Update: Google scannt den Play Store seit 2011 nach Schadsoftware. Dieses Feature soll standardmäßig eingeschaltet sein und ist bereits auf den ‚Fake ID‘-Bug eingeschworen. Damit existiert eine gewisse Form von Schutz, der mir aus dem gestrigen Google-Statement nicht ersichtlich war.

(Danke, Martin!)


  1. Es sind nicht nur Apps ‚unbekannter Herkunft‘, auch über den kontrollierten Play-Store-Weg haben sich bereits Trojaner auf Android Smartphones und Tablets eingenistet und die befallenen Geräte beispielsweise als Bitcoin-Rechenmaschinen missbraucht. 
  2. To give an idea of scale: From 2012 to 2013, about 1.4 billion new devices shipped with the Android operating system, according to Gartner. Gartner estimates that 1.17 billion additional Android devices will ship this year.“ 

Social

Abonnement

iPhoneBlog #one präsentiert wöchentlich neue Videos über App-Store-Apps und einen täglichen Ideenaustausch im privaten Slack-Kanal. Noch nicht dabei? Werde Abonnent.

Du hast schon einen Account? Login.

Support

App Store

Wer eine beliebige iPhone-App im App Store über diesen Link kauft, seinen Mac mit Software aus dem Mac App Store bestückt oder ein Produkt seiner Wahl bei Amazon bestellt, unterstützt das iPhoneBlog mit einem kleinen Prozentsatz des (unveränderten) Kaufpreises.

Archiv

Gastfreundschaften