‚Fake ID‘: ein neuer Android-Super-Bug

30. Juli 2014 – 1:31 Uhr

Frage: Was haben die Android-Versionen 2.1 bis 4.3 gemeinsam? Antwort: Eine Sicherheitslücke beim Signieren von Software, die das Einschleusen von Schadecode erlaubt, der sich dann den weitreichenden Zugriffsrechten von Systemdiensten bemächtigt, um anschließend (potenziell) das komplette Gerät zu übernehmen.

Bluebox Labs, das Team, das bereits im letzten Jahr den ‚Master Key’-Bug offenlegte, umriss das aktuelle Ausmaß gegenüber BBC News so:

„Master Key did allow a whole device to be taken over… but the user had to be duped into a couple of decisions before the malware would be able to achieve its goal,“ he explained.

”Fake ID unfortunately occurs in a manner that is hidden to the user – there’s no prompts, no notifications, no need for special permissions.“

In einem Statement für Ars Technica kommentierte Google die gefälschten Ausweise (deshalb die Bezeichnung ‚Fake ID‘) in seinem mobilen Betriebssystem wie folgt: Der Google-Play-Store ist „sauber“¹; ein Patch an die Android Partner sowie das Android Open Source Project ist verteilt.

Unerwähnt bleibt: Tatsächlich ausgeliefert wird dieser Bugfix natürlich nur auf einem minimalen Prozentsatz aller betroffenen Geräte² – wenn überhaupt. Bluebox Security weiß derzeit nur von einem einzigen Partner (Motorola), der bislang ein Update auf ausgewählte Geräte schickte.

Natürlich ist kein System absolut (und dauerhaft) sicher. Fehler passieren. Auch iOS stolperte wiederholt über grobe Nachlässigkeiten. Deshalb ist das ausschlaggebende Kriterium heutzutage, wie schnell sich aufgedeckte Sicherheitslücken wieder stopfen lassen.

Und ebendeshalb ist dieses Kuchendiagramm so wichtig:

Update: Google scannt den Play Store seit 2011 nach Schadsoftware. Dieses Feature soll standardmäßig eingeschaltet sein und ist bereits auf den ‚Fake ID‘-Bug eingeschworen. Damit existiert eine gewisse Form von Schutz, der mir aus dem gestrigen Google-Statement nicht ersichtlich war.

(Danke, Martin!)

Es sind nicht nur Apps ‚unbekannter Herkunft‘, auch über den kontrollierten Play-Store-Weg haben sich bereits Trojaner auf Android Smartphones und Tablets eingenistet und die befallenen Geräte beispielsweise als Bitcoin-Rechenmaschinen missbraucht. ↩
„To give an idea of scale: From 2012 to 2013, about 1.4 billion new devices shipped with the Android operating system, according to Gartner. Gartner estimates that 1.17 billion additional Android devices will ship this year.“ ↩

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Benutzerdefiniert
Anbieter	Memberful
Zweck	Our membership system is managed by Memberful.com. Certain cookies from memberful.com will be added to your computer if you become a member of iPhoneBlog #one.
Datenschutzerklärung	https://memberful.com/cookie-policy/
Host(s)	memberful.com
Cookie Name	Membership
Cookie Laufzeit	365

Name	Benutzerdefiniert
Anbieter	VG Wort
Zweck	Das Cookie der VG Wort hilft die Kopierwahrscheinlichkeit unserer Texte zu ermitteln und stellt die Vergütung von gesetzlichen Ansprüchen von Autoren und Verlagen sicher. IP-Adressen werden nur in anonymisierter Form verarbeitet.
Datenschutzerklärung	https://www.vgwort.de/hilfsseiten/datenschutz.html
Host(s)	*vgwort.de
Cookie Name	srp
Cookie Laufzeit	Sitzung

Akzeptieren	Vimeo
Name	Vimeo
Anbieter	Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA
Zweck	Wird verwendet, um Vimeo-Inhalte zu entsperren.
Datenschutzerklärung	https://vimeo.com/privacy
Host(s)	player.vimeo.com
Cookie Name	vuid
Cookie Laufzeit	2 Jahre