Master-Key Sicherheitslücke bei KitKat neu aufgetaucht
Der Master-Key Bug ist zurück! Seit Android 1.5 Cupcake ist ein hartnäckiger Fehler im Android Quellcode enthalten, der zwar bereits aufgedeckt und zumindest von Google gefixt wurde, nun aber bei Googles neuster Version Android 4.4 KitKat erneut aufgetaucht ist. Die Lücke ist aber nicht überall vorhanden, wie sich beim neuen Nexus 5 zeigt.
Die neue Sicherheitslücke, genannt Master-Key Bug, ist wieder im Verifizierungsprozess von App-Signaturen aufgetaucht. Der Jailbreak Experte Jay Freeman (Saurik), der durch den alternativen App Store Cydia Bekanntheit erlangte, hat diesen entdeckt und veröffentlicht. Nachdem Google zwei andere Sicherheitslücken geschlossen hat, ist Freeman nun in dem veröffentlichten Quellcode für das Android Open Source Project (AOSP) ein ähnlicher Master-Key Bug aufgefallen.
Im Juli berichtete Bluebox Labs über die Schwachstelle in Googles Android, die alle Geräte ab Android 1.5 betroffen hat und somit 99% aller im Umlauf befindlicher Android Geräte. Der Master-Key Bug ermöglicht es Angreifern, die volle Kontrolle über das Smartphone oder Tablet zu gelangen, indem eine manipulierte App auf dem Gerät des Opfers installiert wird. Diese Apps kommen in Form von APK Dateien, die Container sind, und die eigentliche App beinhalten. Google prüft bei der Installation lediglich, ob die Signatur der APK gültig ist. Aus Googles eigenem Play Store kommen solche Apps scheinbar nicht, da die Malware-Scanner da gut zu funktionieren scheinen. Bei alternativen App Stores schaut das schon anders aus. Der Master-Key Bug täuscht eine richtige Signatur vor und kommt so aufs System. Derartige Apps sind aber bis jetzt nur im asiatischen Raum in entsprechenden App Stores aufgetaucht.
Master-Key ist wieder da
Bereits im Juli hat Google einen Patch für die Sicherheitslücken bereitgestellt, allerdings hängt die Verteilung der Updates von den Herstellern und Netzbetreibern ab. Freeman bemängelt, dass dieses Problem auch bei dem neuen Master-Key Bug bestehen wird. Google hat bereits einen entsprechenden Patch für das Nexus 5 verteilt und die Lücke geschlossen. Benutzer anderer Geräte dürften länger auf den Patch warten oder diesen nie bekommen.
Bluebox bietet in Googles Play Store weiterhin die kostenlose App an, mit der man sein Android Gerät auf Bugs überprüfen kann. Die App untersucht, ob das eigene Gerät die Lücken bezüglich Signaturfehler hat oder schon schädliche Apps installiert sind. Weiterhin meldet die App, wenn Apps von alternativen App Stores installiert werden sollen. Außerdem kann man mit dem SRT AppScanner solche Überprüfungen durchführen.
Letztendlich liegt die Verantwortung beim Nutzer. Man sollte Apps nur aus vertrauenswürdigen Quellen installieren und ab und zu Scanprogramme laufen lassen.