Google schließt Signatur-Lücke und wann die Hersteller?
Android ist das zahlenmäßig meist genutzte mobile Betriebssystem der Welt, weswegen es ziemlich häufig Opfer von Malware-Angriffen ist. Kein Wunder also, wenn man Sicherheitsexperte Android als das „Windows der Smartphones“ bezeichnet, denn Malware-Magnet sind statistisch gesehen beide. Dennoch gibt es einen kleinen aber entscheidenden Unterschied zwischen beiden Plattformen und der ist in der Update-Verantwortung zu finden.
Wenn Malware bestimmte Lücken in Windows ausnutzt, können diese Lücken recht schnell und zeitnah durch Microsoft geschlossen werden über die interne Update-Funktion. Zwar wird das meistens am zweiten Dienstag im jeweiligen Monat, dem sogenannten Patch-Day, durchgeführt aber es wird zentral von Microsoft durchgeführt. Bei Android ist die Sache da ein wenig anders, denn für Updates der Geräte wie Smartphones und Tablets, sind die jeweiligen Hersteller selbst zuständig. Und Updates kosten nicht gerade wenig Geld, weswegen nicht immer alle Modelle mit Updates versorgt werden können.
Eine Signatur, sie zu knechten…
Besonders tragisch wirkt sich diese Eigenart von Android aus, wenn eine wirklich als kritisch zu betrachtende Sicherheitslücke entdeckt wird, auch wenn diese nur theoretisch besteht. Die von Blue Security entdeckte Lücke bei der App-Signatur betrifft alle Android-Versionen ab 1.6 Donut und somit geschätzte 99% aller in Benutzung befindlichen Android-Geräte. Das sind über 900 Millionen Geräte, dennoch ist die Ausnutzung der Signatur-Lücke nur theoretischer Natur und die Diskussion um besagte Lücke eher Panikmache denn reelle Gefahr. Zumindest wenn man sich an die offiziellen und seriösen App-Quellen wie den Google Play Store, Amazon App Store oder das AndroidPit App Center hält. Eine aktive Ausnutzung der Lücke über die App-Signatur habe Google bisher jedenfalls nicht feststellen können, wie Gina Scigliano von Google berichtet.
We have not seen any evidence of exploitation in Google Play or other app stores via our security scanning tools. Google Play scans for this issue – and Verify Apps provides protection for Android users who download apps to their devices outside of Play.
Deutsche Übersetzung:
Wir haben keine Beweise zur Ausnutzung der Lücke in Google Play oder anderen App Stores mit unseren Scantools für Sicherheit entdecken können. Google Play wird nach solchen Problemen gescannt – Und verifiziert Apps mit einem Schutzmechanismus für Android-Nutzer, welche Apps außerhalb des Play Stores auf ihr Android-Gerät laden.
…und doch nicht ins Dunkel zu treiben
Dennoch hat Google mittlerweile die Sicherheitslücke bei der App-Signatur geschlossen und den entsprechenden Fix OEM-Herstellern zur Verfügung gestellt. Aber genau an dieser Stelle bleibt die Frage im Raum: „Und wann kommt das Sicherheitsupdate bei meinem Androiden an?“ Eine Frage, die man so nicht beantworten kann, da Updates bei Android-Geräten fast schon traditionell etliche Monate bis zur Auslieferung benötigen. Lediglich Samsung hat laut Scigliano bereits mit dem Verteilen eines entsprechenden Updates begonnen, ohne jedoch nähere Einzelheiten nennen zu können.
Überhaupt dürfte von Interesse sein, welche Geräte überhaupt das Sicherheitsupdate bekommen werden, abgesehen von den jeweils aktuellen Flaggschiffen. Etwas kurios ist dabei allerdings, dass das Update scheinbar noch nicht einmal von Google für die eigenen Nexus-Geräte verteilt wird. Dabei rühmen sich gerade die Nexus-Geräte mit der besten Update-Versorgung, wobei sich das in erster Linie auf Versionsupdates von Android selbst bezieht.