Schutz vor Ausnutzung der MasterKey-Lücke in Android
Zwei weitere Tools sollen Android-Nutzer vor Apps schützen, welche die kürzlich bekannt gewordenen Schwachstellen in der Signaturprüfung ausnutzen. Eines der beiden rüstet den Google-Patch nach, auf den man sonst lange warten muss.
- Ronald Eikenberg
Zwei weitere Tools sollen Android-Nutzer davor bewahren, dass bösartige Apps die "MasterKey" getaufte Schwachstelle (und die chinesische Variante) in Googles Betriebssystem ausnutzen. Das wirksamere der beiden erfordert allerdings Root-Rechte.
ReKey packt das Übel an der Wurzel und injiziert den von Google entwickelten Patch in Smartphones und Tablets, auf denen Android 2.0 oder höher läuft. Das hat den Vorteil, dass man seine Geräte sofort schützen kann und nicht darauf warten muss, dass die Hersteller gepachte Android-Versionen freigeben. In vielen Fällen dürfte das Warten ohnehin vergebens sein, da die Unternehmen schnell das Interesse daran verlieren, die Software von älteren Geräten auf dem aktuellen Stand zu halten.
Darüber hinaus soll ReKey, das die Sicherheitsfirma Dou Sec in Zusammenarbeit mit der Bostener Northeastern University entwickelt hat, einen Hinweis anzeigen, wenn eine App versucht, die Schwachstelle auszunutzen. Einen Haken hat ReKey allerdings auch: Das Tool benötigt erhöhte Rechte, um auf die zu patchenden Systembereich zugreifen zu können; man muss das Gerät erst mal rooten.
Wer diesen Eingriff scheut, der kann einen Blick auf MobileSecurity 2 von G Data werfen, das APK-Installationspakete, welche die Lücken ausnutzen, über seine Heuristik identifizieren können soll. Das Virenschutzprogramm kostet allerdings 19 Euro und ist damit kein Schnäppchen. G Data bietet abseits von Google Play eine 30 Tage lauffähige Testversion als APK-Datei an.
Alternativ hat man weiterhin die Möglichkeit, Version 10.1.2 der Android-Distribution CyanogenMod zu installieren, sofern man eines der unterstützten Geräte besitzt. Diese Version enthält bereits den von Google entwickelten Patch. Ein offizielles Update auf ein abgesichertes Android gibt es bislang nur von Samsung, und zwar für das Spitzenmodell S4.
Auch wenn ein Angreifer durch die Schwachstellen, die nahezu alle installierten Android-Versionen betroffen, die Signaturprüfung des Betriebssystems austricksen und seiner Angriffs-App höchstmögliche Rechte verschaffen kann, besteht derzeit kein Grund zur Panik. Zwar existiert ein öffentlich zugänglicher Exploit, mit das das Ausnutzen der Lücke vereinfacht, echte Angriffe sind bislang allerdings nicht bekannt geworden. Darüber hinaus können die Schwachstelle nach bisherigem Kenntnisstand ausschließlich Apps ausnutzen, die per Sideloading – also an Googles App-Katalog vorbei – als APK-Installationspaket auf das Gerät gelangen. Der beste Schutz ist daher, die Installation von "Nicht-Market-Apps" in den Sicherheitseinstellungen von Android erst gar nicht zu erlauben.
Siehe dazu auch:
- ReKey im heise Software-Verzeichnis
- G Data MobileSecurity 2 im heise Software-Verzeichnis
