Erneuter Fehler der Signaturprüfung in Android

Mit Android 4.4 behebt Google erneut einen Fehler, der es ermöglicht, Software mit gefälschten Signaturen zu versehen. Da ein Forscher diesen Bug bereits früher entdeckt hatte, gibt es auch bereits eine detaillierte Erklärung und einen Demo-Exploit.

In Pocket speichern vorlesen Druckansicht 105 Kommentare lesen
Lesezeit: 2 Min.

Mit Android 4.4 behebt Google erneut einen Fehler, der es ermöglicht, Schad-Software in digital signierte Pakete einzuschleusen. Da ein Forscher diesen Bug bereits früher entdeckt hatte, gibt es auch bereits eine detaillierte Erklärung und einen Demo-Exploit.

Das Problem ist einmal mehr die Art und Weise, wie Android die digitalen Signaturen von Software-Paketen prüft. Offenbar lässt sich über diese Lücke Code zu einem digital signierten Paket hinzufügen, ohne dass diese Signatur ungültig wird. Das bedeutet, dass elementare Sicherheitschecks ins Leere greifen und Software an diesen Tests vorbeigeschmuggelt werden kann. Im schlimmsten Fall könnte sich ein Trojaner etwa als von Google autorisierte Systemerweiterung die allerhöchsten Rechte verschaffen und im System einnisten.

Software für Android-Systeme kommt in APK-Dateien, die im Wesentlichen nichts anderes als ZIP-Archive sind. Die Wurzel des Problems ist die Tatsache, dass ZIP-Archive Verwaltungsinformationen in zwei Strukturen vorhalten, einem sogenannten zentralen Directory und einem lokalen Header. Dabei verwendeten die Android-Tools mal die eine, mal die andere Information. In der PC/Windows-Welt wurden inkonsistente Verwaltungsinformationen in ZIP-Archiven bereits vor neun Jahren als Methode erkannt, mit der man Virenscanner austricksen kann. Google hat das Problem offenbar jetzt in Android 4.4 erkannt und beseitigt.

Bei seiner Analyse der Änderungen stolperte Jay Freeman – als "Saurik" in der iOS-Jailbreak-Szene bekannt – über diesen Fix. Er beschreibt detailliert, wie Angreifer ihn ausnützen könnten und stellt auch ein Python-Skript bereit, mit dem passend manipulierte ZIP-Dateien erstellt werden können. Sein Tool Impactor soll in der Lage sein, den Fehler direkt auszunutzen, um Root-Rechte zu verschaffen. Es scheiterte jedoch in einem ersten Versuch von heise Security auf einem Samsung Galaxy Nexus mit Android 4.3. (ju)