Clever Blog

Android-Security-Fix: Bei uns schmeckt der Donut wieder!

Android-Security-Fix: Bei uns schmeckt der Donut wieder!

Bei Android ist vor kurzem eine Sicherheitslücke bekannt geworden, die alle Android Versionen ab dem Donut – also Version 1.6 – betrifft. Der Anfang Juli bekannt gewordene Exploit ermöglicht die unbemerkte Manipulation von Android Devices. Mittels des Sicherheitslecks ist es möglich, Passwörter auszulesen und sogar Geräte aus der Ferne zu administrieren. Der Zugriff aufs Smartphone gelingt dabei über schadhafte Apps, die manipuliert oder ersetzt wurden. Schlecht: Nach der Manipulation werden sie nicht als Malware vom System erkannt.

Die Hintergründe

Android 1.6 DonutJede Android App bzw. das APK wird mit kryptographischen Signaturen versehen; eigentlich sollen so Veränderungen an Applikationen erkannt werden. Im Detail: APK Dateien sind im Prinzip .zip-Files; Android selber erlaubt es wiederum, dass APKs selber zwei Dateien mit einem gleichen Namen beinhalten dürfen. Und hier liegt der Fehler: Es wird immer nur eine der beiden gleich benannten Dateien einer APK zur Überprüfung der Signatur herangezogen. Die andere der beiden Dateien wird dagegen ungeprüft installiert. Diese Datei kann im schlimmsten Fall mit Schadcode infiziert sein, da hier nicht die Signatur überprüft wird.
Dem Unternehmen Bluebox Security ist es vor kurzem auf Basis des Exploits „gelungen“, die Signaturen von APKs so zu manipulieren, dass das Android-System diese nicht als schadhaft erkennt. Gleichzeitig hat die auf IT-Sicherheit spezialisierte Firma die Sicherheitslücke jedoch auch öffentlich gemacht. Wem allerdings noch seit dem 15. September 2009 (dem Erscheinungsdatum von Android Donut) diese Sicherheitslücke bekannt ist, bleibt unklar. Da der Fehler schon seit der Version 1.6 in Android vorhanden ist, sind aktuell ca. 99% aller Smartphones von diesem potenziellen Sicherheitsproblem betroffen. Einmal eine scheinbar „vertrauenswürdige“ App installiert, stehen dem Angreifer Tür und Tor offen. Vorstellbar ist beispielsweise das Szenario, dass eine App mit Schadcode aus einer nicht vertrauenswürdigen Quelle installiert wird. Ungehindert passiert sie die Sicherheitsschranken des Android-Systems und verändert oder ersetzt anschließend legitime Apps. Diese Apps haben im schlimmsten Fall systemweite Berechtigungen – und können damit in die Tiefen der eigenen Daten vordringen. Trotzdem: Es ist bislang kein Fall bekannt, bei dem die Sicherheitslücke für Angriffe auf Smartphones ausgenutzt wurde.

Auerswald macht den Donut wieder schmackhaft

Auch unsere VoIP-Telefone mit der wesentlich neueren und weltweit am meisten verbreiteten Android Version Gingerbread sind also von diesem potentiellen Sicherheitsleck betroffen. Aber Abhilfe ist nah: Wir werden Anfang kommender Woche eine in unserer Roadmap vorgezogene Public Beta 1.7A für unsere Android-Telefone COMfortel 3200 und COMfortel 3500 veröffentlichen, die einen Bugfix zur Schließung der Sicherheitslücke enthält. Angenehmer Nebeneffekt für Interessierte: Mit dieser Public Beta werden neue Funktionen für die VoIP-Telefone ausgerollt. Doch dazu mehr wenn es soweit ist und das Release 1.8 zum Download bereit steht!

[Update 15.07 | Die Public Beta 1.7A für das COMfortel 3500 steht ab sofort zum Download bereit: http://aue.rs/Public_Beta_3500_1_7A]
← Feature-Vorschau: Public Beta 1.7A IP-DECT Wireless System für Profis →

2 Kommentare

  1. Jens
    2. Dezember 2013 um 12:41

    Gut, dass Sicherheitsupdates gemacht werden.

    Aber warum wird nicht auf eine aktuelle Android-Version upgedatet? Gingerbread ist bestensfalls 2.3.7 und damit über 2 (!) Jahre alt.

    Die API Level 10 wird natürlich seit dem nicht mehr weiterentwickelt, aktuell ist API Level 19 (KitKat).
    Die tatsächlich einsetzbaren (d.h. aktiv gewarteten) Apps nehmen täglich ab.

    Auerswald muß hier stärker dran bleiben!


    • Auerswald
      6. Januar 2014 um 15:40

      Hi Jens,

      das COMfortel 3200 und 3500 werden nicht mit Android 4 ausgestattet. Der Performance-Bedarf würde die Geräte deutlich in der Bedienung bremsen.

      Beste Grüße,
      Juliane


Ihr Kommentar

Bitte alle Felder mit einem * ausfüllen