Androids Code-Signatur lässt sich umgehen

Android-Anwendungen sind mit einer Signatur versehen, die die Integrität des APK-Pakets gewährleisten soll. Bei der Installation prüft das Betriebssystem seinen Inhalt anhand der Signatur und warnt, wenn es eine Manipulation feststellt. Das erst Mitte 2012 gegründete US-Unternehmen Bluebox will nun einen Fehler in diesem Verfahren entdeckt haben, der das Einschleusen beliebigen Codes in APK-Dateien ermöglicht, ohne die Signatur zu brechen. Laut Bluebox sind Apps in Googles Android-Shop "Play" von der Sicherheitslücke nicht betroffen.

Details zu dem im Februar 2013 an Google gemeldeten Fehler 8219321 will das Unternehmen am 1. August 2013 auf der Blackhat-Konferenz bekanntgeben. Er soll bereits seit Android 1.6 (Donut) existieren, das vor rund vier Jahren erschien. Die Korrektur umfasse lediglich zwei Zeilen. Bislang hat laut der australischen Website CIO nur Samsung ein Update für sein Galaxy S4 bereitgestellt, das die Lücke schließt. Google will die Open-Source-Version von Android demnächst fixen.

Besonders gefährlich sei die Lücke in Verbindung mit Software vom jeweiligen Gerätehersteller. Sie habe höhere Privilegien als normale Apps, sodass die Manipulation eines solchen APK-Pakets einem Angreifer beliebige Rechte auf dem Gerät einräume. Allerdings müsste er dazu Zugang zu diesen Dateien haben. Als Beleg für den Fehler gilt der Screenshot einer manipulierten System-App: In der Versions-Nummer der Baseband-Software erscheint nun die Zeichenkette "Bluebox".

Unklar ist, ob die Lücke bereits installierte Software betrifft, der Angreifer ein gefälschtes Update mit scheinbar korrekter Signatur unterschiebt oder ob es um die erstmalige Installation eines Programms geht. (ck)