Exploit für Lücke in Androids Code-Signing veröffentlicht

Auf Github ist ein Exploit für eine vor wenigen Tagen bekanntgewordene Lücke in Googles Mobilbetriebssystem Android veröffentlicht worden. Er ermöglicht es, Programmpakete im APK-Format zu manipulieren, ohne dass das Betriebssystem beim Installieren etwas davon bemerkt. Das soll eigentlich durch eine Manifest-Datei verhindert werden, die einen Hash-Wert für jedes zu installierende File enthält.

Das simple Shell-Script des Exploit zerlegt ein APK-Archiv in lesbare Dateien, die man nach Gutdünken verändern kann. Anschließend erzeugt es daraus eine neue APK-Datei, die es mit einem Python-Script nachbehandelt. Dabei werden alle Teile des Original-APK in das neue File kopiert, das dadurch sowohl die korrekten also auch die manipulierten Komponenten enthält.

Dem Autor des Exploit zufolge prüfe Android beim Installieren die korrekte, zweite Datei anhand der im Paket enthaltenen Signatur, installiere dann jedoch die erste, manipulierte. In einem kurzen Test mit einer signierten APK-Datei ließ sich der behauptete Angriff zumindest im Android-Emulator jedoch nicht nachstellen: Er verweigerte die Installation des manipulierten Pakets mit der Fehlermeldung INSTALL_PARSE_FAILED_NO_CERTIFICATES.

Google will den Fehler in Android bereits seit Längerem behoben haben, bislang stellte jedoch nur Samsung für sein Galaxy S4 einen Patch bereit. Im freien Android-Ableger CyanogenMod ist die von Google stammende Korrektur für die Sicherheitslücke verfügbar. Sie stellt sicher, dass das Betriebssystem das Installieren einer APK-Datei mit doppelten Einträgen verweigert.

Über die Bedeutung der Sicherheitslücke gehen die Meinungen auseinander. Während die Entdecker davon sprechen, den "Master-Key" für Android gefunden zu haben, und 99 Prozent aller Geräte für gefährdet halten, äußern sich andere zurückhaltender: Gefährdet seien in erster Linie Anwender, die Software aus zweifelhaften Quellen installierten. (ck)