CM10.1.2 schließt zweite Signatur-Sicherheitslücke
Android ist das derzeit erfolgreichste und beliebteste mobile Betriebssystem für eine Vielzahl an mobilen Geräten, insbesondere für Smartphones und Tablets. Diese Beliebtheit bringt aber auch ein von den Android-Entwicklern hausgemachtes Problem zum Vorschein: Sicherheitsupdates kommen nur sehr schleppend bei den Kunden der Hersteller an, wenn überhaupt.
In den letzten Tagen wurde eine theoretisch besonders gefährliche Lücke im System von Android bekannt, mit welcher Angreifer über eine Ausnutzung in der Signatur einer App an Root-Rechte und damit praktisch Vollzugriff auf das Android-Gerät bekommen. Zwar hat Google diese Lücke innerhalb sehr kurzer zeit nach Bekanntwerden schließen können und einen entsprechenden Patch an alle Mitglieder der Open Handset Alliance übermitteln können, doch bis der Patch tatsächlich bei den vielen Millionen Android-Nutzern ankommt, werden zum Teil noch etliche Monate ins Land ziehen.
Anders sieht es da bei Aftermarket Firmwares wie CyanogenMod aus, welche direkt auf den (offenen) Quellcode von Android zugreifen und somit sehr zeitnah entsprechende Updates verteilen können. Insofern ist es nicht verwunderlich, dass CM10.1.1 ein Update mit der geschlossenen Signatur-Lücke war, welche Google wie erwähnt sehr schnell nach Bekanntwerden geschlossen hat. Nun haben die Macher der Custom ROM um Steve „Cyanogen“ Kondik erneut ein Update nachgeschoben, welches die Versionsnummer 10.1.2 trägt.
Kleines aber wichtiges Update
Zum Changelog des erneuten Updates innerhalb weniger Tage gibt es nur so viel zu sagen, dass das Team erneut eine Sicherheitslücke im Bezug zur APK-Signatur geschlossen hat, welches jedoch ein wenig komplexer als das erste war. Und erneut hat Google die bekannt gewordene Lücke schließen können, was die Entwickler von CyanogenMod zu besagtem erneuten Update auf nunmehr Version 10.1.2 veranlasst hat. Die neue Version kann wie üblich von den Servern des CyanogenMod-Projektes heruntergeladen werden und steht für jedes unterstützte Smartphone sowie Tablet zur Verfügung, welches mit der Stable Version von CM10.1 versorgt wurde.
Lediglich 3 Zeilen von Code haben dieses Mal gereicht, um den neuerlichen Fehler im Android-System bezüglich der APK-Signatur zu umgehen, bei dem die Überprüfung besagter APK-Signatur einfach übersprungen werden kann. Das CyanogenMod-Team empfiehlt übrigens allen Nutzern von CM10.1.0.x oder CM10.1.1 umgehend ihre Installation zu aktualisieren, auch wenn eine echte Ausnutzung der Sicherheitslücke sehr unwahrscheinlich ist. Sicher ist sicher.