18.07.2013, Autor: Sabrina Berkenkopf

Der Android “Master Key“ Exploit

Weit verbreitete Sicherheitslücke könnte Nutzer noch lange beschäftigen

Binnen der letzten Tage wurde viel über die ernstzunehmende Sicherheitslücke im Android Betriebssystem geschrieben, die Angreifern einen vollständigen Zugriff auf die betroffenen Mobilgeräte verschaffen kann. Die Entdecker der Sicherheitslücke, Bluebox, schätzen, dass 99% der Android-Geräte seit v1.6 für die Sicherheitslücke anfällig sind. Und obwohl vereinzelt schon Patches existieren, könnte die Wartezeit und damit auch die Schutzlosigkeit für viele Nutzer noch lang bis gar unendlich werden, denn viele Geräte werden den Patch wahrscheinlich nicht erhalten.

Fakt ist, dass Angreifer sich Zugang zu allen Daten und Funktionen eines Gerätes verschaffen können, wenn sie die Sicherheitslücke ausnutzen. Android Apps, .apk-Dateien, werden dafür von den Angreifern verändert. Ihnen werden schadhafte Zusätze eingepflanzt, die im anfälligen System durch einen Prüf-Fehler nicht durch die Sicherheitsprüfung fallen.

Wie kann das passieren?

Vereinfacht gesagt: Die .apk-Datei ist ein Container für eine Menge an Dateien – ein .zip-Archiv mit anderem Namen. Die im Container enthaltenen Dateien werden bei der Installation einer Echtheitsprüfung unterzogen und gegen kryptographische Prüfsummen abgeglichen. Die Prüfsummen sind in der Datei Manifest.MF abgelegt, die ebenfalls in der .apk-Datei gespeichert ist.
Wurden Dateien innerhalb des Containers verändert und stimmen deshalb nicht mit den hinterlegten Prüfsummen überein, wird die Installation gestoppt. Dieser Sicherheitsschritt funktioniert einwandfrei.

Das aktuelle Problem besteht jedoch, weil Angreifer nicht etwa vorhandene Dateien in dem Container verändern, sondern veränderte Duplikate der Dateien in den Container hinzufügen. Und diese Duplikate werden nicht extra der Sicherheitsprüfung unterzogen. Die Prüfung findet bei der Originaldatei statt. Installiert wird aber, aufgrund eines Fehlers, das veränderte und schadhafte Duplikat.

Was kann passieren?

Angreifer können sich durch Ausnutzen der Sicherheitslücke in verschiedener Weise Zugriff auf das Gerät verschaffen:

  • Ein relativ einfach zu realisierender Angriff ist hierbei Datendiebstahl: Die Angreifer manipulieren in oben genannter Weise eine App aus der sie Daten stehlen wollen und bringen den Benutzer dazu, diese zu installieren. So bekommen die Angreifer Zugriff auf alle in der App enthaltenen, eingegebenen und verarbeiteten Informationen, wie z.B. Kontaktdaten, Bankdaten, etc.

  • Eine andere Angriffsmöglichkeit, die jedoch komplizierter ist, ist die Manipulation von Apps mit Systemrechten, wie sie zum Beispiel solche vom Hersteller schon auf den Geräten vorinstallieren. Gelingt es Angreifern, diese Apps zu manipulieren und unter die Nutzer zu streuen, so erlangen sie Vollzugriff auf das Gerät. Datendiebstahl ist auf diese Weise ungehindert möglich und zusätzlich weitere Szenarien, die der Nutzer nur sehr schwer oder gar überhaupt nicht bemerkt: z.B. die Einbindung des Gerätes in ein Botnetz, das Rooten des Gerätes oder auch die Benutzung des Gerätes als Proxy (z.B. für die Verbreitung von Kinderpornographie).

Was kann der Nutzer tun?

Berichten zufolge hat Google bereits reagiert und die notwendigen Informationen zu den Geräteherstellern weitergeleitet. Nun müssen die Nutzer auf ein entsprechendes Update oder einen Patch für ihr Mobilgerät warten. Leider war die Update-Politik und waren auch die systembedingten Update-Möglichkeiten für Android-Geräte schon häufig Stein des Anstoßes und die große Fragmentierung über Hersteller, Telefonanbieter sowie Geräte ist in so einem Fall eher Fluch als Segen und trägt nicht zu optimalen Sicherheitsbedingungen bei. Viele Geräte werden aller Voraussicht nach nie ein entsprechendes Update erhalten, weil sie bereits das vom Hersteller ausgegebene „End of Life“-Datum überschritten haben.

Bis ein offizielles Update/ein offizieller Patch für das jeweilige Gerät erhältlich ist, sollten Nutzer folgendes beachten:

  • Benutzen Sie eine umfassende Sicherheitslösung für Ihr Android-Mobilgerät
    Die G DATA MobileSecurity 2 enthält einen Hotfix, der Sie wirkungsvoll gegen den „Master Key“ Exploit schützt!
    An Bestandskunden wurde bereits ein entsprechendes Update ausgeliefert, nicht-Kunden können sich eine kostenlose 30-Tage-Version der G DATA MobileSecurity 2 herunterladen.

  • Laden Sie Apps nur aus dem offiziellen Google Play Markt und vertrauenswürdigen Quellen
    Achten Sie dabei weiterhin besonders auf App-Bewertungen und Kommentare sowie die von der App geforderten Berechtigungen.

Share this article

G DATA | Trust in German Sicherheit