Login
Login-Name Passwort


 
Newsletter
Werbung

Di, 9. Juli 2013, 08:38

Software::Mobilgeräte

Google behebt Sicherheitslücke in Android-App-Verifikation

Android-Apps konnten offenbar geändert werden, ohne dass sich ihre kryptografische Signatur änderte, und damit das System unterwandern. Wenige Tage nach der Bekanntgabe hat Google jetzt dieses Problem korrigiert.

android.com

In der vergangenen Woche hatte die Firma Bluebox Security für Aufsehen gesorgt, indem sie eine Sicherheitslücke in der Art, wie Android-Apps verifiziert und installiert werden, verkündete. Nach den eher spärlichen Angaben im Blog des Unternehmens war es möglich, eine kryptografisch signierte App nachträglich so zu verändern, dass die Signatur gleich blieb. Mit der Signatur wird zum einen die Identität der Autors der App verifiziert, da sie vom Autor vorgenommen wird. Da nur der Autor den privaten Schlüssel zu dieser Signatur besitzt, kann niemand anderes die korrekte Signatur erstellen. Ändert sich nur ein Bit in der App, ohne dass die Signatur angepasst wurde, so sollte die Verifikation der App fehlschlagen. Ist dies nicht der Fall, deutet das auf eine schlechte Wahl des Signatur-Algorithmus oder entscheidende Auslassungen hin.

Laut Bluebox Security existierte der Fehler mindestens seit Android 1.6, betrifft also nahezu jedes Android-Gerät. Angesichts der mageren Aussagen des Unternehmens bleibt allerdings unklar, ob tatsächlich eine nennenswerte Gefahr bestand. Immerhin müssten infizierte Apps erst einmal auf die Geräte der Benutzer gelangen. Nach Aussagen von Google sollte das über den App-Store Google Play nicht möglich sein, da dessen Sicherheitsprüfungswerkzeuge das Problem erkennen würden. Wer dagegen Apps aus anderen Quellen als Google Play beziehe, sei geschützt, sofern er mit »Verify Apps« die Software prüfe.

Gegenüber ZDNet verkündete Gina Scigliano, Unternehmenssprecherin für Android bei Google, dass Google das Problem jetzt behoben habe und den Geräteherstellern zur Verfügung stehe. Das bedeutet leider noch nicht, dass die Korrektur auch schnell bei den Anwendern ist, denn es ist nun Aufgabe der einzelnen Hersteller, entsprechende Updates herauszugeben.

Bluebox Security hatte angeblich den Fehler schon im Februar entdeckt und an Google gemeldet, was Google jedoch nicht bestätigen wollte. Die Details des Fehlers sind noch nicht bekannt. Bluebox Security hat jedoch angekündigt, sie auf der Konferenz Black Hat 2013 in einem Vortrag vorzustellen.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung