Weiterer Fehler in Androids Signaturprüfung

Chinesische Blogger haben eine Sicherheitslücke im Android-Betriebssystem entdeckt, die eine ähnliche Wirkung haben soll wie die Schwachstelle, die vor zwei Wochen von der Firma Bluebox veröffentlicht wurde. Das Unternehmen hatte gezeigt, dass sich Androids App-Signaturprüfung austricksen lässt. Bereits installierte Apps können so manipuliert werden, dass Angreifer die Kontrolle über das Gerät erhalten – je nachdem, wie viele Rechte die manipulierte App inne hat.

Auch durch die neue Sicherheitslücke kann man Androids-Signaturprüfung überwinden. Dies funktioniert über die Manipulation des Headers der APK-Datei. So kann man der App nachträglich Code hinzufügen, ohne dabei die Signatur ungültig zu machen.

Beide Sicherheitslücken sollen mit dem CyanogenMod-Update auf die Version 10.1.2 behoben worden sein. Laut der australischen Website CIO ist auch Google schon tätig geworden und hat zumindest einen Patch für die Bluebox-Lücke entwickelt. Der soll aber bisher nur für das Samsung S4 ausgeliefert worden sein.

Bluebox hatte die Lücke zunächst nur oberflächlich beschrieben und wollte die Schwachstelle bei der BlackHat-Konferenz ausführlich vorstellen. Dem Unternehmen ist allerdings ein Entwickler zuvorgekommen: Er veröffentlichte auf Grundlage des von Google entwickelten Patches einen beispielhaften Exploit. (kbe)