Topthemen

Fake ID: Lücke in Zertifizierung macht etliche Android-Apps unsicher

shutterstock 11636986
© Richard Thornton http://www.shutterstock.com/gallery-62553p1.html , shutterstock.com http://www.shutterstock.com/de/pic-11636986/stock-photo-coocoo-clock-on-wall-with-weighted-pendants.html?src=zbjo4CYcghcKqncW1N61Qw-1-1

Google erlaubt manchen Anbietern, Apps mit erhöhten Berechtigungen zu veröffentlichen. Deren Zertifikate werden seit Jahren von Hackern für Malware missbraucht.

shutterstock 11636986
Apps, die die Fake-ID-Lücke nutzen, geben falsche Identitäten vor und nutzen Privilegien von Anbietern, die Googles besonderes Vertrauen genießen; wie ein Kuckucks-Junges, das seine Stiefeltern ausnutzt / © Richard Thornton, shutterstock.com

Unter falscher Kennung konnten seit Januar 2010 (seit Android 2.1!) etliche Malware-Apps in den Umlauf gelangen, die sich dem Android-Kern gegenüber als Flash-Player, 3LM-Erweiterung oder sogar als Google Wallet ausgeben und damit an Rechte wie NFC-Steuerung oder einen Ausbruch aus der Webview-Sandbox gelangen. Der US-amerikanische Sicherheitsdienstleister Bluebox erklärt den Trick wie folgt:

“Ein Angreifer kann ein neues, digitales Identitätszertifikat erstellen, einen Antrag fälschen, laut dem dieses Zertifikat von Adobe ausgestellt wurde und die Anwendung mit einer Zertifikat-Kette signieren, die die bösartige Identität und das Adobe-Zertifikat beinhaltet. Bei der Installation wird der Android Package Installer nicht den Antrag des bösartigen Identitäts-Zertifikates verifizieren und eine Paket-Signatur erstellen, die beide Zertifikate beinhaltet. Dies wiederum trickst den Zertifikate-überprüfenden Code im Webview-Plugin-Manager aus (der die Kette explizit auf das Adobe-Zertifikat überprüft) und ermöglicht der Anwendung die Erlangung der speziellen Privilegien des Webview-Plugins - was zu einem Ausbruch aus der Sandbox [dem gesicherten und vom Android-Kern abgeschotteten Bereich] und dem Einschleusen des Schadcodes führt, der als Webview-Plugin in andere Anwendungen implementiert wird.

Das obige Beispiel lässt sich also auf eine Reihe von Apps anwenden, deren Hersteller Googles besonderes Vertrauen erhielten, etwas mehr Rechte zu erhalten, als die übliche Taschenlampen-App. Deren Zertifikate wurden fest in den Android-Kern hinein programmiert, wie aus dem Bericht weiter hervorgeht. Doch genau dies scheint nun das Verhängnis zu sein.

Welche Geräte sind betroffen?

Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben; doch wurde das Problem hierbei auf Rechte-Seite gelöst (der Flash Player hat jetzt auch im Original weniger Befugnisse), nicht aber auf Verifizierungs-Seite. Daher sind sämtliche Geräte mit den 3LM-Geräte-Erweiterungen (was fast alle sind) potenziell noch immer angreifbar. Und die Formulierung “Prinzipiell alles, was von verifizierten Signaturketten abhängt, um eine Anwendung zu authentifizieren, könnte empfindlich sein”, macht Fake ID zu einer generellen Bedrohung, weshalb wir definitiv an dem Fall dran bleiben und Euch auf dem Laufenden halten werden. 

Ein Google-Kern-Update zum Schließen der Lücke ist bereits unterwegs. Auch der neue Dynamic Security Provider der Google Play Services 5 liefert neue Ansätze, derlei Zertifizierungs-Lücken schneller Einhalt zu gebieten. Bluebox liefert indes einen kostenlosen Security Scanner, mit dem sich Eure Apps schon jetzt auf den Exploit abklopfen lassen.

  Aktuelles Ultra-Modell Aktuelles Plus-Modell S23-Basis-Version Aktuelle Fan-Edition
 
  Samsung Galaxy S23 Ultra Product Image Samsung Galaxy S23+ Product Image Samsung Galaxy S23 Product Image Samsung Galaxy S23 FE Product Image
Bewertung
Test: Samsung Galaxy S23 Ultra
Test: Samsung Galaxy S23+
Test: Samsung Galaxy S23
Noch nicht getestet
Kurz-Test: Samsung Galaxy S23 FE
Preisvergleich
Zu den Kommentaren (35)
Eric Ferrari-Herrmann

Eric Ferrari-Herrmann
Senior Editor

Eric ist seit 2014 bei AndroidPIT. Seine alte Tech-Leidenschaft wird allmählich unterwandert von der Liebe zu mehr Nachhaltigkeit, Privatsphäre und dem Wunsch nach einer Zukunft für alle.

Zeige alle Artikel
Hat Dir der Artikel gefallen? Jetzt teilen!
Empfohlene Artikel
Neueste Artikel
Push-Benachrichtigungen Nächster Artikel
35 Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • 7
    Jakub Smolar 31.07.2014 Link zum Kommentar

    CM11s auf meinem 1+1 ist sicher :-)


  • 50
    Gelöschter Account 31.07.2014 Link zum Kommentar

    >Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben;

    Das stimmt offenbar nicht! Anderen Aussagen zufolge ist auch KitKat und die L-Preview betroffen. Stellvertretend den Artikel von Heise:

    http://m.heise.de/newsticker/meldung/Fake-ID-Zertifikats-Schmu-erlaubt-Android-Apps-den-Ausbruch-aus-der-Sandbox-2278430.html?from-classic=1


  • 4
    Cenk Y. 30.07.2014 Link zum Kommentar

    also laut bluebox trotz kitkat von betroffen! Samsung s5. na da stimmt dann entweder die Aussage mit 4.4 nicht oder die bluebox prüft nicht richtig. wat Nu?


  • Julian 18
    Julian 30.07.2014 Link zum Kommentar

    Wer keine nicht-Play Store Apps installiert, keine dubiosen Links/E-Mail Anhänge öffnet/anklickt und zudem etwas Verstand besitzt der ist eigentlich schon ziemlich sicher mit Android - aber vollkommen sicher ist man natürlich nicht, zumindest solange nicht, solange Menschen den Programmcode schreiben - und somit Fehler entstehen.

    DiDaDo


  • 21
    rumbleking 29.07.2014 Link zum Kommentar

    toll das google so schnell versucht die lücken zu schließen. schade nur das so mancher Hersteller bis zu 1 jahr bis gar nicht braucht um diese mit in die eigene firmware einzuspielen.
    thema schnelle updates eben.
    d.h. manch ein nexus user hat sofort wieder ein sicheres gerät und andere warten ewig das die lücke geschlossen wird.


    • 18
      VKay94 30.07.2014 Link zum Kommentar

      Oder eine CustomROM. CM und Co. bieten Sicherheitsupdates nach nur wenigen Tagen an (Nightlies) -- siehe Towelroot


    • Julian 18
      Julian 30.07.2014 Link zum Kommentar

      Stimmt. Aber auf dauer wird das problem dadurch behoben werden, dass Google immer mehr in die Play Services auslagert und so Sicherheitsrelevante Updates verteilen kann, ohne das irgendein Hersteller noch dazwischen hängt.


  • 76
    Frank K. 29.07.2014 Link zum Kommentar

    Und wenn ich jetzt wie letztens (beim Simplocker-Artikel) die Tatsache, dass Android nicht sicher ist, ausspreche, darf ich mir wieder anhören, was das für ein Blödsinn sei, 100%ige Sicherheit unmöglich ist (tatsächlich?!) und dass die Nutzer selber Schuld sind.

    ("Daumen runter"-Kommentar, weil man eine unbequeme Wahrheit ausspricht)

    Gelöschter AccountHorst H.Peter W.


    • Thomas R. 37
      Thomas R. 29.07.2014 Link zum Kommentar

      Nun ja natürlich wird es immer so etwas geben. BEi iOS gab es vor 2 Jahren solche einen ähnlichen Fall mit Apps. Wichtig ist, dass schnell reagiert wird. 100%ige Sicherheit kann es niemals geben aber eben rasche Updates wie es ja auch Apple vormacht sind da dann einfach Pflicht.

      Gelöschter Account


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Deswegen verteilt Google ja mittlerweile solche Sicherheitspatches über die Google Play Services unabhängig von der Android Version. Bekommt der User in der Regel gar nichts von mit.


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Genau das ist einer meiner größten Kritikpunkte. Die Lücken werden bestenfalls mit der aktuellen oder nächsten Version geschlossen. Wie hier mit Android 4.4; aber was bringt das jetzt? 10% aller Android Geräte sind geschützt, klasse. In 2 Jahren vielleicht 50%, wenn überhaupt. Die Chinesen bringen ja immer noch fleißig Smartphones mit 4.2 Jelly Bean.


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Nein Frank, mittlerweile über die Play Services. Es ist nicht so als würde es Google komplett am Hintern vorbeigehen, wie sie die Updateproblematik und die damit fehlende Verteilung von Patches in den Griff bekommen wollen.


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Gibt es dafür irgendein Beleg, dass dadurch tatsächlich schon Sicherheitslücken geschlossen wurden? Habe auch schon gelesen, dass es mittlerweile möglich sein soll, aber bisher gab es keine einzige Meldung über beispielsweise "Google Play Services UPDATE X schließt Sicherheitslücke Y". Und es gab in letzter Zeit so einige News über neu(-entdeckte) Lücken.

        Also?


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        "Mittlerweile" war jetzt wohl etwas zu hoch gegriffen ;) Sie haben es vor 4 Wochen auf der I/O angekündigt. Ob es tatsächlich "mittlerweile" so läuft, kann ich nicht mit Sicherheit sagen, ich arbeite ja nicht bei Google. Irgendwo war was von "Google aktualisiert die Play Services aller 6 Wochen zu lesen" finde den Link aber grad nicht mehr.
        Sie sind sicherlich dran und es ist nicht so, als würde Google an dem Problem nicht arbeiten und ich denke nicht, dass sie die User nun bis zum L-Release hinhalten.

        Ansonsten nochmal zum Thema: http://magazin.intel.de/android-vs-google-play-services-tod-dem-versions-wahnsinn/

        Edit: Falls dieses Update bereits davon spricht: http://www.androidpolice.com/2014/06/25/google-play-services-5-0-is-rolling-out-with-new-security-tools-android-wear-support-and-more/ - "Dynamic Security Provider — Offers an alternative to the platform's secure networking APIs that can be updated more frequently, for faster delivery of security patches. " - dann ist es auf meinem Gerät bereits installiert (Version 5.0.84)


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Richtig, die neuste Play Service Version hat durch das Update die Möglichkeit, Sicherheitspatches zu verteilen. Nichtsdestotrotz ist es aber nur die Möglichkeit und bisher gab es noch keinen Fall, in dem tatsächlich ein Sicherheitsupdate so verteilt wurde. Natürlich hast du Recht, dass diese Änderung noch sehr neu ist und ich habe diese auf der Google I/O auch sehr befürwortet! Aber solange Google kein einziges Mal gezeigt hat, dass nun wirklich 100% der Geräte mit Play Store Zugriff zeitnahe Sicherheitsupdates erhalten, bleibt meine Aussage so stehen.


      • DiDaDo 98
        DiDaDo 29.07.2014 Link zum Kommentar

        Sprich, solange du kein Dokument einsehen kannst in dem verzeichnet ist welche Lücke wann mit welchem Patch gefixed wurde, hälst du die Update-unabhängige BugFixing-Methode über die Play Services für ausgedachten Blödsinn?

        FalkoOhneOGelöschter Account


      • 76
        Frank K. 30.07.2014 Link zum Kommentar

        Mal ehrlich, stellst du dich extra so an? Wenn irgendeine Sicherheitslücke von Google geschlossen wird und ein Patch verfügbar ist, wird darüber berichtet. Das war bisher immer schon so und wird auch in Zukunft so sein. Selbst Google wird doch daran interessiert sein, dies zu kommunizieren. Also komm doch nicht mit irgendwelchen "Dokumenten" die am besten noch intern und geheim sein sollen. Ein einfaches Update mit Changelog wie wir es seit JAHREN schon kennen reicht doch schon. "ausgemachter Blödsinn" habe ich nie gesagt, sondern es ist momentan einfach eine Möglichkeit, die noch NIE genutzt wurde. Was bringt es denn, wenn Google sich bei solchen Fixes jetzt 6 Monate oder mehr Zeit lassen würde? Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert. Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden. Towelroot und Masterkey sind beispielsweise immer noch bei jedem 4.3 Android Smartphone ungefixt. Scheiß egal, was momentan über die tollen Play Services möglich ist. Dadurch schließen sich die Sicherheitslücken auch nicht von alleine, aber dafür muss man vielleicht mal der Wahrheit ins Auge sehen, was dir einfach nicht möglich ist.


      • DiDaDo 98
        DiDaDo 30.07.2014 Link zum Kommentar

        "stellst du dich extra so an?"

        "Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden."

        "was dir einfach nicht möglich ist."

        Schade, dass Diskussionen mit dir am Ende immer in so eine persönlich angreifende Richtung laufen müssen.

        "Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert."

        Richtig, hab nichts anderes behauptet. Genauso lächerlich und unreflektiert ist es die Sache, die grade vor 4 Wochen vorgestellt wurde jetzt schon schlecht zu reden und indirekt behaupten zu wollen, dass das Problem ungelöst ist und bleibt, weil bis jetzt angeblich noch nichts drüber gepatcht wurde, da du noch keinen Changelog innerhalb der Play Services gelesen hast.


      • 76
        Frank K. 30.07.2014 Link zum Kommentar

        Siehst du, du verdrehst wieder die Worte. Schade, dass du einfach nicht anders eine Diksussion führen kannst. Ich habe NICHT gesagt, das Problem BLEIBT ungelöst, sondern es IST momentan ungelöst. Und solange es keine entsprechenden Patches GIBT, verbessert das die Sicerheitssituation in Android NICHT. Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an, obwohl Google exakt 0 Mal aktiv wurde und aktuell >85% der Geräte Towelroot, Simplocker und Fake ID UNGESCHÜTZT sind. Wenn diese behoben werden, wird es wie bisher bei jeder Spftware der Welt seit Jahrzehnten einen Changelog geben.

        Wichtige Worte wurden in Blockbuchstaben hervorgehoben. Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen.


      • DiDaDo 98
        DiDaDo 30.07.2014 Link zum Kommentar

        "Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an ..."

        Wer verdreht jetzt hier wem die Worte?
        Ich habe lediglich Deine Aussage genommen und dargestellt was du damit im Umkehrschluss aussagen willst, nichts weiter. Worte verdrehen ist was anderes.

        "Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen."

        Danke, Herr Oberlehrer!


    • 24
      Gelöschter Account 29.07.2014 Link zum Kommentar

      Hast Recht, Android ist nicht sicher, aber auf jedenfall sicher genug, dass sich niemand ernsthafte Sorgen machen muss.
      Und JA, 100%ige Sicherheit ist praktisch nicht möglich.


  • 12
    Dennis Apitz 29.07.2014 Link zum Kommentar

    Und ich mit meinem S3 (Android 4.3) schaue dumm aus der Röhre, well played...
    Edit: Danke für die netten Hinweise, habe auch über Root nachgedacht (mein erstes mal), wobei ich mir nächstes Jahr sowieso ein neues kaufen wollte, solange halte ich es noch mit 4.3 aus. Wobei mich CM schon lange reizt...

    Gelöschter AccountFelipe


    • 18
      Alexander Fromm 29.07.2014 Link zum Kommentar

      Dennis. Roote das Ding fertig. Es gibt zig Foren in denen das beschrieben wird und die Dich auch unterstützen.

      Gelöschter AccountDiDaDoGelöschter Account


      • 50
        Gelöschter Account 31.07.2014 Link zum Kommentar

        Wie kann man zur Behebung dieses Bug dazu raten, allen Apps potenziellen Root-Zugriff zu gestatten?


    • DiDaDo 98
      DiDaDo 29.07.2014 Link zum Kommentar

      Na du du musst dir nach Samsungs Logik nun ein S3 Neo mit 1,5GB Ram kaufen, oder besser gleich ein S5 oder eins von den neuen zahlreichen Einsteigergeräten mit 512MB Ram, auf denen Kitkat auf "wundersame Weise" läuft.

      Benny AlexGelöschter AccountVKay94


    • 23
      Christian Schenkel 30.07.2014 Link zum Kommentar

      Mach dir einen Gefallen und flash ein Custom Rom, sofern du es noch länger behalten möchtest.
      Hab ich bei meinem S3 auch getan und bereue es keine Sekunde.
      Wenn dir Cyanogenmod passt, kannst du den CM Installer verwenden, sofern du keine Erfahrung auf Rooten/Flashen hast. Simpel, einfach und per Assistent ohne gross zig Anleitungen zu befolgen. Der Installer macht alles nötige für dich. Da hast du dann Android 4.4.4 mit Zusatzfeatures. Läuft bei mir einwandfrei und Towelroot ist auch bereits gefixt.


    • 28
      Micky 30.07.2014 Link zum Kommentar

      Frag mich mal mit meinem Xperia P Android 4.1.2 :D


    • 20
      Gelöschter Account 30.07.2014 Link zum Kommentar

      Ich kann mich nur anschließen. Habe meiner Frau CM11 per Installer aufs SIII gezogen, root etc. geht dann alles automatisch. Man braucht nur einen PC (mit Mac oder Linux habe ich es noch nicht probiert), Internetzugang und knapp eine Stunde Zeit, fertig.


      Hinweis: per Installer installierte CM-Roms bedeutet aber keinen Zugriff auf nightly oder M-builds. Ist für Otto-Normalo peng, wusste ich vorher nicht, man kann aber (wie immer auf eigene Gefahr) z. B. die M8-Version manuell flashen (root hat man ja schon, bootloader ist offen, recovery ist drauf).

      Benny AlexGelöschter Account


  • 33
    Adrian 29.07.2014 Link zum Kommentar

    Sicherheitsrelevante updates sollten verpflichtend über deutlich mehr als 2 Jahre ausgerollt werden. Ich denke 4 Jahre im mobilen Bereich sollten in Ordnung sich in. Vergleicht man das mit dem support von vollwertigen OS, ist das weiterhin sehr wenig und dennoch weitaus mehr, als das, was aktuell angeboten wird (Ausnahme Apple).

    schibumaGelöschter AccountVKay94Frank K.Benjamin Risse


    • 18
      Alexander Fromm 29.07.2014 Link zum Kommentar

      Na was nützt mir das Laufende und jahrelange Update von Apple wenn jeder Hannes und Franz (NSA und andere Behörden lassen Grüßen) der weiß wie es geht, mein IOS hacken kann. Dann auch noch unbemerkt vom Nutzer. Klasse und Super Sicher.

      schibuma


      • 76
        Frank K. 29.07.2014 Link zum Kommentar

        Ich glaube, jedes professionelle Hacken geschieht unbemerkt vom Nutzer. Ist doch meist Sinn der Sache.


      • 32
        Gelöschter Account 30.07.2014 Link zum Kommentar

        Das sind zwei verschiedene Dinge !
        Sind klar zu trennen in Nachrichtendienste und dem hier im Artikel.

        Wie kann man Sicherheitsupdates nur so kommentieren


      • Andre H. 11
        Andre H. 30.07.2014 Link zum Kommentar

        Gut, dass man bei Android vor besagten Behörden sicher ist!

        /ironie aus

        Frank K.


  • 6
    Gelöschter Account 29.07.2014 Link zum Kommentar

    Typisch Adobe Produkte. Sehr unsicher, dennoch kann man ohne sie nichts machen. Ich hoffe es wird bald mal mehr Sicherheit für Android gewährleistet, denn sonst wechsle ich zu Apple.

    schibumaDerTeetrinkerFrank K.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
VG Wort Zählerpixel