Topthemen

Fake ID: Lücke in Zertifizierung macht etliche Android-Apps unsicher

shutterstock 11636986
© Richard Thornton http://www.shutterstock.com/gallery-62553p1.html , shutterstock.com http://www.shutterstock.com/de/pic-11636986/stock-photo-coocoo-clock-on-wall-with-weighted-pendants.html?src=zbjo4CYcghcKqncW1N61Qw-1-1

Google erlaubt manchen Anbietern, Apps mit erhöhten Berechtigungen zu veröffentlichen. Deren Zertifikate werden seit Jahren von Hackern für Malware missbraucht.

shutterstock 11636986
Apps, die die Fake-ID-Lücke nutzen, geben falsche Identitäten vor und nutzen Privilegien von Anbietern, die Googles besonderes Vertrauen genießen; wie ein Kuckucks-Junges, das seine Stiefeltern ausnutzt / © Richard Thornton, shutterstock.com

Unter falscher Kennung konnten seit Januar 2010 (seit Android 2.1!) etliche Malware-Apps in den Umlauf gelangen, die sich dem Android-Kern gegenüber als Flash-Player, 3LM-Erweiterung oder sogar als Google Wallet ausgeben und damit an Rechte wie NFC-Steuerung oder einen Ausbruch aus der Webview-Sandbox gelangen. Der US-amerikanische Sicherheitsdienstleister Bluebox erklärt den Trick wie folgt:

“Ein Angreifer kann ein neues, digitales Identitätszertifikat erstellen, einen Antrag fälschen, laut dem dieses Zertifikat von Adobe ausgestellt wurde und die Anwendung mit einer Zertifikat-Kette signieren, die die bösartige Identität und das Adobe-Zertifikat beinhaltet. Bei der Installation wird der Android Package Installer nicht den Antrag des bösartigen Identitäts-Zertifikates verifizieren und eine Paket-Signatur erstellen, die beide Zertifikate beinhaltet. Dies wiederum trickst den Zertifikate-überprüfenden Code im Webview-Plugin-Manager aus (der die Kette explizit auf das Adobe-Zertifikat überprüft) und ermöglicht der Anwendung die Erlangung der speziellen Privilegien des Webview-Plugins - was zu einem Ausbruch aus der Sandbox [dem gesicherten und vom Android-Kern abgeschotteten Bereich] und dem Einschleusen des Schadcodes führt, der als Webview-Plugin in andere Anwendungen implementiert wird.

Das obige Beispiel lässt sich also auf eine Reihe von Apps anwenden, deren Hersteller Googles besonderes Vertrauen erhielten, etwas mehr Rechte zu erhalten, als die übliche Taschenlampen-App. Deren Zertifikate wurden fest in den Android-Kern hinein programmiert, wie aus dem Bericht weiter hervorgeht. Doch genau dies scheint nun das Verhängnis zu sein.

Welche Geräte sind betroffen?

Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben; doch wurde das Problem hierbei auf Rechte-Seite gelöst (der Flash Player hat jetzt auch im Original weniger Befugnisse), nicht aber auf Verifizierungs-Seite. Daher sind sämtliche Geräte mit den 3LM-Geräte-Erweiterungen (was fast alle sind) potenziell noch immer angreifbar. Und die Formulierung “Prinzipiell alles, was von verifizierten Signaturketten abhängt, um eine Anwendung zu authentifizieren, könnte empfindlich sein”, macht Fake ID zu einer generellen Bedrohung, weshalb wir definitiv an dem Fall dran bleiben und Euch auf dem Laufenden halten werden. 

Ein Google-Kern-Update zum Schließen der Lücke ist bereits unterwegs. Auch der neue Dynamic Security Provider der Google Play Services 5 liefert neue Ansätze, derlei Zertifizierungs-Lücken schneller Einhalt zu gebieten. Bluebox liefert indes einen kostenlosen Security Scanner, mit dem sich Eure Apps schon jetzt auf den Exploit abklopfen lassen.

Die besten Smartphones bis 500 Euro

  Redaktionsempfehlung Beste Alternative Bestes Kamera-Smartphone Bester Software-Support Bestes Preis-Leistungs-Verhältnis Beste Performance
Produkt
Abbildung Xiaomi Redmi Note 13 Pro+ 5G Product Image Nothing Phone (1) Product Image Google Pixel 7 Product Image Samsung Galaxy A54 Product Image Motorola Edge 40 Neo Product Image Xiaomi Poco F5 Pro Product Image
Bewertung
Bewertung: Xiaomi Redmi Note 13 Pro+ 5G
Bewertung: Nothing Phone (1)
Bewertung: Google Pixel 7
Bewertung: Samsung Galaxy A54
Bewertung: Motorola Edge 40 Neo
Bewertung: Xiaomi Poco F5 Pro
Zum Angebot*
Zu den Kommentaren (35)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
35 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 7
    Jakub Smolar 31.07.2014 Link zum Kommentar

    CM11s auf meinem 1+1 ist sicher :-)


  • 50
    Gelöschter Account 31.07.2014 Link zum Kommentar

    >Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben;

    Das stimmt offenbar nicht! Anderen Aussagen zufolge ist auch KitKat und die L-Preview betroffen. Stellvertretend den Artikel von Heise:

    http://m.heise.de/newsticker/meldung/Fake-ID-Zertifikats-Schmu-erlaubt-Android-Apps-den-Ausbruch-aus-der-Sandbox-2278430.html?from-classic=1


  • 4
    Cenk Y. 30.07.2014 Link zum Kommentar

    also laut bluebox trotz kitkat von betroffen! Samsung s5. na da stimmt dann entweder die Aussage mit 4.4 nicht oder die bluebox prüft nicht richtig. wat Nu?


  • Julian 18
    Julian 30.07.2014 Link zum Kommentar

    Wer keine nicht-Play Store Apps installiert, keine dubiosen Links/E-Mail Anhänge öffnet/anklickt und zudem etwas Verstand besitzt der ist eigentlich schon ziemlich sicher mit Android - aber vollkommen sicher ist man natürlich nicht, zumindest solange nicht, solange Menschen den Programmcode schreiben - und somit Fehler entstehen.

    DiDaDo


  • 21
    rumbleking 29.07.2014 Link zum Kommentar

    toll das google so schnell versucht die lücken zu schließen. schade nur das so mancher Hersteller bis zu 1 jahr bis gar nicht braucht um diese mit in die eigene firmware einzuspielen.
    thema schnelle updates eben.
    d.h. manch ein nexus user hat sofort wieder ein sicheres gerät und andere warten ewig das die lücke geschlossen wird.


    • 18
      VKay94 30.07.2014 Link zum Kommentar

      Oder eine CustomROM. CM und Co. bieten Sicherheitsupdates nach nur wenigen Tagen an (Nightlies) -- siehe Towelroot


    • Julian 18
      Julian 30.07.2014 Link zum Kommentar

      Stimmt. Aber auf dauer wird das problem dadurch behoben werden, dass Google immer mehr in die Play Services auslagert und so Sicherheitsrelevante Updates verteilen kann, ohne das irgendein Hersteller noch dazwischen hängt.


  • 76
    Frank K. 29.07.2014 Link zum Kommentar

    Und wenn ich jetzt wie letztens (beim Simplocker-Artikel) die Tatsache, dass Android nicht sicher ist, ausspreche, darf ich mir wieder anhören, was das für ein Blödsinn sei, 100%ige Sicherheit unmöglich ist (tatsächlich?!) und dass die Nutzer selber Schuld sind.

    ("Daumen runter"-Kommentar, weil man eine unbequeme Wahrheit ausspricht)

    Gelöschter AccountHorst H.Peter W.


    • Thomas R. 37
      Thomas R. 29.07.2014 Link zum Kommentar

      Nun ja natürlich wird es immer so etwas geben. BEi iOS gab es vor 2 Jahren solche einen ähnlichen Fall mit Apps. Wichtig ist, dass schnell reagiert wird. 100%ige Sicherheit kann es niemals geben aber eben rasche Updates wie es ja auch Apple vormacht sind da dann einfach Pflicht.

      Gelöschter Account


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Deswegen verteilt Google ja mittlerweile solche Sicherheitspatches über die Google Play Services unabhängig von der Android Version. Bekommt der User in der Regel gar nichts von mit.


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Genau das ist einer meiner größten Kritikpunkte. Die Lücken werden bestenfalls mit der aktuellen oder nächsten Version geschlossen. Wie hier mit Android 4.4; aber was bringt das jetzt? 10% aller Android Geräte sind geschützt, klasse. In 2 Jahren vielleicht 50%, wenn überhaupt. Die Chinesen bringen ja immer noch fleißig Smartphones mit 4.2 Jelly Bean.


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Nein Frank, mittlerweile über die Play Services. Es ist nicht so als würde es Google komplett am Hintern vorbeigehen, wie sie die Updateproblematik und die damit fehlende Verteilung von Patches in den Griff bekommen wollen.


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Gibt es dafür irgendein Beleg, dass dadurch tatsächlich schon Sicherheitslücken geschlossen wurden? Habe auch schon gelesen, dass es mittlerweile möglich sein soll, aber bisher gab es keine einzige Meldung über beispielsweise "Google Play Services UPDATE X schließt Sicherheitslücke Y". Und es gab in letzter Zeit so einige News über neu(-entdeckte) Lücken.

        Also?


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        "Mittlerweile" war jetzt wohl etwas zu hoch gegriffen ;) Sie haben es vor 4 Wochen auf der I/O angekündigt. Ob es tatsächlich "mittlerweile" so läuft, kann ich nicht mit Sicherheit sagen, ich arbeite ja nicht bei Google. Irgendwo war was von "Google aktualisiert die Play Services aller 6 Wochen zu lesen" finde den Link aber grad nicht mehr.
        Sie sind sicherlich dran und es ist nicht so, als würde Google an dem Problem nicht arbeiten und ich denke nicht, dass sie die User nun bis zum L-Release hinhalten.

        Ansonsten nochmal zum Thema: http://magazin.intel.de/android-vs-google-play-services-tod-dem-versions-wahnsinn/

        Edit: Falls dieses Update bereits davon spricht: http://www.androidpolice.com/2014/06/25/google-play-services-5-0-is-rolling-out-with-new-security-tools-android-wear-support-and-more/ - "Dynamic Security Provider — Offers an alternative to the platform's secure networking APIs that can be updated more frequently, for faster delivery of security patches. " - dann ist es auf meinem Gerät bereits installiert (Version 5.0.84)


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Richtig, die neuste Play Service Version hat durch das Update die Möglichkeit, Sicherheitspatches zu verteilen. Nichtsdestotrotz ist es aber nur die Möglichkeit und bisher gab es noch keinen Fall, in dem tatsächlich ein Sicherheitsupdate so verteilt wurde. Natürlich hast du Recht, dass diese Änderung noch sehr neu ist und ich habe diese auf der Google I/O auch sehr befürwortet! Aber solange Google kein einziges Mal gezeigt hat, dass nun wirklich 100% der Geräte mit Play Store Zugriff zeitnahe Sicherheitsupdates erhalten, bleibt meine Aussage so stehen.


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Sprich, solange du kein Dokument einsehen kannst in dem verzeichnet ist welche Lücke wann mit welchem Patch gefixed wurde, hälst du die Update-unabhängige BugFixing-Methode über die Play Services für ausgedachten Blödsinn?

        FalkoOhneOGelöschter Account


      • 76
        Frank K. 30.07.2014 Link zum Kommentar

        Mal ehrlich, stellst du dich extra so an? Wenn irgendeine Sicherheitslücke von Google geschlossen wird und ein Patch verfügbar ist, wird darüber berichtet. Das war bisher immer schon so und wird auch in Zukunft so sein. Selbst Google wird doch daran interessiert sein, dies zu kommunizieren. Also komm doch nicht mit irgendwelchen "Dokumenten" die am besten noch intern und geheim sein sollen. Ein einfaches Update mit Changelog wie wir es seit JAHREN schon kennen reicht doch schon. "ausgemachter Blödsinn" habe ich nie gesagt, sondern es ist momentan einfach eine Möglichkeit, die noch NIE genutzt wurde. Was bringt es denn, wenn Google sich bei solchen Fixes jetzt 6 Monate oder mehr Zeit lassen würde? Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert. Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden. Towelroot und Masterkey sind beispielsweise immer noch bei jedem 4.3 Android Smartphone ungefixt. Scheiß egal, was momentan über die tollen Play Services möglich ist. Dadurch schließen sich die Sicherheitslücken auch nicht von alleine, aber dafür muss man vielleicht mal der Wahrheit ins Auge sehen, was dir einfach nicht möglich ist.


      • DiDaDo 98
        DiDaDo 30.07.2014 Link zum Kommentar

        "stellst du dich extra so an?"

        "Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden."

        "was dir einfach nicht möglich ist."

        Schade, dass Diskussionen mit dir am Ende immer in so eine persönlich angreifende Richtung laufen müssen.

        "Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert."

        Richtig, hab nichts anderes behauptet. Genauso lächerlich und unreflektiert ist es die Sache, die grade vor 4 Wochen vorgestellt wurde jetzt schon schlecht zu reden und indirekt behaupten zu wollen, dass das Problem ungelöst ist und bleibt, weil bis jetzt angeblich noch nichts drüber gepatcht wurde, da du noch keinen Changelog innerhalb der Play Services gelesen hast.


      • 76
        Frank K. 30.07.2014 Link zum Kommentar

        Siehst du, du verdrehst wieder die Worte. Schade, dass du einfach nicht anders eine Diksussion führen kannst. Ich habe NICHT gesagt, das Problem BLEIBT ungelöst, sondern es IST momentan ungelöst. Und solange es keine entsprechenden Patches GIBT, verbessert das die Sicerheitssituation in Android NICHT. Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an, obwohl Google exakt 0 Mal aktiv wurde und aktuell >85% der Geräte Towelroot, Simplocker und Fake ID UNGESCHÜTZT sind. Wenn diese behoben werden, wird es wie bisher bei jeder Spftware der Welt seit Jahrzehnten einen Changelog geben.

        Wichtige Worte wurden in Blockbuchstaben hervorgehoben. Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen.


      • DiDaDo 98
        DiDaDo 30.07.2014 Link zum Kommentar

        "Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an ..."

        Wer verdreht jetzt hier wem die Worte?
        Ich habe lediglich Deine Aussage genommen und dargestellt was du damit im Umkehrschluss aussagen willst, nichts weiter. Worte verdrehen ist was anderes.

        "Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen."

        Danke, Herr Oberlehrer!

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel