Binnen der letzten Tage wurde viel über die ernstzunehmende Sicherheitslücke im Android Betriebssystem geschrieben, die Angreifern einen vollständigen Zugriff auf die betroffenen Mobilgeräte verschaffen kann. Die Entdecker der Sicherheitslücke, Bluebox, schätzen, dass 99% der Android-Geräte seit v1.6 für die Sicherheitslücke anfällig sind. Und obwohl vereinzelt schon Patches existieren, könnte die Wartezeit und damit auch die Schutzlosigkeit für viele Nutzer noch lang bis gar unendlich werden, denn viele Geräte werden den Patch wahrscheinlich nicht erhalten.
Fakt ist, dass Angreifer sich Zugang zu allen Daten und Funktionen eines Gerätes verschaffen können, wenn sie die Sicherheitslücke ausnutzen. Android Apps, .apk-Dateien, werden dafür von den Angreifern verändert. Ihnen werden schadhafte Zusätze eingepflanzt, die im anfälligen System durch einen Prüf-Fehler nicht durch die Sicherheitsprüfung fallen.
Vereinfacht gesagt: Die .apk-Datei ist ein Container für eine Menge an Dateien – ein .zip-Archiv mit anderem Namen. Die im Container enthaltenen Dateien werden bei der Installation einer Echtheitsprüfung unterzogen und gegen kryptographische Prüfsummen abgeglichen. Die Prüfsummen sind in der Datei Manifest.MF abgelegt, die ebenfalls in der .apk-Datei gespeichert ist.
Wurden Dateien innerhalb des Containers verändert und stimmen deshalb nicht mit den hinterlegten Prüfsummen überein, wird die Installation gestoppt. Dieser Sicherheitsschritt funktioniert einwandfrei.
Das aktuelle Problem besteht jedoch, weil Angreifer nicht etwa vorhandene Dateien in dem Container verändern, sondern veränderte Duplikate der Dateien in den Container hinzufügen. Und diese Duplikate werden nicht extra der Sicherheitsprüfung unterzogen. Die Prüfung findet bei der Originaldatei statt. Installiert wird aber, aufgrund eines Fehlers, das veränderte und schadhafte Duplikat.
Angreifer können sich durch Ausnutzen der Sicherheitslücke in verschiedener Weise Zugriff auf das Gerät verschaffen:
Berichten zufolge hat Google bereits reagiert und die notwendigen Informationen zu den Geräteherstellern weitergeleitet. Nun müssen die Nutzer auf ein entsprechendes Update oder einen Patch für ihr Mobilgerät warten. Leider war die Update-Politik und waren auch die systembedingten Update-Möglichkeiten für Android-Geräte schon häufig Stein des Anstoßes und die große Fragmentierung über Hersteller, Telefonanbieter sowie Geräte ist in so einem Fall eher Fluch als Segen und trägt nicht zu optimalen Sicherheitsbedingungen bei. Viele Geräte werden aller Voraussicht nach nie ein entsprechendes Update erhalten, weil sie bereits das vom Hersteller ausgegebene „End of Life“-Datum überschritten haben.
Bis ein offizielles Update/ein offizieller Patch für das jeweilige Gerät erhältlich ist, sollten Nutzer folgendes beachten: