Master-Key Sicherheitslücke bei KitKat neu aufgetaucht

Master-Key

Der Master-Key Bug ist zurück! Seit Android 1.5 Cupcake ist ein hartnäckiger Fehler im Android Quellcode enthalten, der zwar bereits aufgedeckt und zumindest von Google gefixt wurde, nun aber bei Googles neuster Version Android 4.4 KitKat erneut aufgetaucht ist. Die Lücke ist aber nicht überall vorhanden, wie sich beim neuen Nexus 5 zeigt.

Die neue Sicherheitslücke, genannt Master-Key Bug, ist wieder im Verifizierungsprozess von App-Signaturen aufgetaucht. Der Jailbreak Experte Jay Freeman (Saurik), der durch den alternativen App Store Cydia Bekanntheit erlangte, hat diesen entdeckt und veröffentlicht. Nachdem Google zwei andere Sicherheitslücken geschlossen hat, ist Freeman nun in dem veröffentlichten Quellcode für das Android Open Source Project (AOSP) ein ähnlicher Master-Key Bug aufgefallen.

Im Juli berichtete Bluebox Labs über die Schwachstelle in Googles Android, die alle Geräte ab Android 1.5 betroffen hat und somit 99% aller im Umlauf befindlicher Android Geräte. Der Master-Key Bug ermöglicht es Angreifern, die volle Kontrolle über das Smartphone oder Tablet zu gelangen, indem eine manipulierte App auf dem Gerät des Opfers installiert wird. Diese Apps kommen in Form von APK Dateien, die Container sind, und die eigentliche App beinhalten. Google prüft bei der Installation lediglich, ob die Signatur der APK gültig ist. Aus Googles eigenem Play Store kommen solche Apps scheinbar nicht, da die Malware-Scanner da gut zu funktionieren scheinen. Bei alternativen App Stores schaut das schon anders aus. Der Master-Key Bug täuscht eine richtige Signatur vor und kommt so aufs System. Derartige Apps sind aber bis jetzt nur im asiatischen Raum in entsprechenden App Stores aufgetaucht.

 

Master-Key ist wieder da

Bereits im Juli hat Google einen Patch für die Sicherheitslücken bereitgestellt, allerdings hängt die Verteilung der Updates von den Herstellern und Netzbetreibern ab. Freeman bemängelt, dass dieses Problem auch bei dem neuen Master-Key Bug bestehen wird. Google hat bereits einen entsprechenden Patch für das Nexus 5 verteilt und die Lücke geschlossen. Benutzer anderer Geräte dürften länger auf den Patch warten oder diesen nie bekommen.

Bluebox bietet in Googles Play Store weiterhin die kostenlose App an, mit der man sein Android Gerät auf Bugs überprüfen kann. Die App untersucht, ob das eigene Gerät die Lücken bezüglich Signaturfehler hat oder schon schädliche Apps installiert sind. Weiterhin meldet die App, wenn Apps von alternativen App Stores installiert werden sollen. Außerdem kann man mit dem SRT AppScanner  solche Überprüfungen durchführen.

Letztendlich liegt die Verantwortung beim Nutzer. Man sollte Apps nur aus vertrauenswürdigen Quellen installieren und ab und zu Scanprogramme laufen lassen.

Die App konnte im App Store nicht gefunden werden. 🙁
SRT AppScanner
SRT AppScanner
Entwickler: Backes SRT GmbH
Preis: Kostenlos
[Quelle: ChannelPartner]

Beitrag teilen:

Gastautor

Schreib auch Du deinen eigenen Beitrag!
Du hast Dir gerade ein neues mobiles Device gekauft und möchtest deine Erfahrungen der Community mitteilen?
Liegt Dir schon seit langen etwas auf der Zunge was du der Android Welt mitteilen möchtest?
Du hast aber keinen Blog oder nicht die gewünschte Menge an Leser?

anDROID NEWS & TV bietet Dir nun die Möglichkeit, so fern du in einem lesbaren Stil einen Beitrag verfassen kannst, diesen auf unseren Blog zu veröffentlichen!
Ab besten eine Word-Datei mit allen Links & Bildern in eine E-Mail an: redaktion@go2android.de

Wir setzen uns umgehend mit Dir in Verbindung und teilen Dir den Veröffentlichungstermin mit.
Kommerzielle Anfragen von Marketing- und PR-Agenturen, bitten wir sich auch als solche zu erkennen zu geben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

shares