Fake ID: Zertifikats-Schmu erlaubt Android-Apps den Ausbruch aus der Sandbox

Die von den Forschern "Fake ID" getaufte Lücke erlaubt es Apps, sich die Spezial-Rechte von Android-System-Programmen zu sichern und so aus der Sicherheits-Sandbox auszubrechen. Ähnlich wie ein Jugendlicher, der sich mit falschem Ausweis in einen Nachtclub schummelt.

In Pocket speichern vorlesen Druckansicht 134 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Forscher der Sicherheitsfirma Bluebox Security haben ein Problem mit der Prüfung von App-Zertifikaten bei Android entdeckt. Dies erlaubt es bösartigen Apps, aus der Sicherheits-Sandbox des Betriebssystems auszubrechen. Das ist möglich, da bestimmte VIP-Apps unter Android legitimerweise die Sandbox umgehen dürfen, so zum Beispiel Adobes Flash Player. Ein Angreifer kann durch die Sicherheitslücke das Zertifikat so einer VIP-App fälschen und seiner bösartigen App die gleichen Rechte sichern. Installiert der Nutzer diese, kann die App auf dem Gerät machen, was sie will.

Apps von Google haben bei Android besonders weitgehende Rechte

Die Forscher nennen das Problem "Fake ID", da sich die Apps quasi wie ein Jugendlicher verhalten, der sich mit gefälschtem Personalausweis in einen Nachtclub schmuggelt. Das Problem existiert im Paket-Installationssystem von Android seit Version 2.1 aus dem Jahr 2010. Die aktuelle Version 4.4 (KitKat) ist genauso verwundbar wie die Entwickler-Vorschau von Android 5.0 ("Android L").

Das Betriebssystem überprüft die Verbindungen in Zertifikatsketten nicht korrekt, sodass jedes Zertifikat behaupten kann, von einem anderen Zertifikat unterzeichnet worden zu sein. Dieser fatale Fehler führt die Sicherheits-Sandbox ad absurdum. Als Beispiel für sehr weitreichende Administrationsrechte, die bösartige Apps klauen können, geben die Forscher Sicherheits-Apps des Herstellers 3LM an, der mittlerweile zu Motorola gehört.

Details zu der Lücke wollen die Bluebox-Forscher in einem Vortrag auf der Black-Hat-Konferenz bekanntgeben. Google sagte gegenüber der US-amerikanischen Nachrichtenseite Ars Technica, Bluebox habe die Lücke bereits an die Android-Macher gemeldet. Ein entsprechender Patch sei bereits im Android Open Source Project (AOSP) eingepflegt and an Android-Hersteller verteilt worden. Mehr Details wollte die Firma allerdings nicht nennen. Man habe im Google-Play-Katalog bisher keine Apps gefunden, die die Lücke ausnutzten.

In einem Gespräch mit der Webseite Security Ledger ließen die Forscher von Bluebox durchblicken, dass der fehlerhafte Zertifikatsprüfungs-Code aus dem Harmony-Projekt stammt. Das mittlerweile eingestellte Projekt, ehemals unter der Ägide der Apache Software Foundation (ASF), bildete die Grundlage für Googles Java-VM Dalvik. Offensichtlich hatten die Android-Entwickler beim Übernehmen des Harmony-Codes das Sicherheitsproblem nicht bemerkt.

In Android L soll Dalvik durch Googles neue Android Runtime (ART) ersetzt werden. In wie fern die Lücke in ART auch noch vorhanden ist, ist momentan unklar. Laut Bluebox Systems war bei ihren Versuchen die Entwickler-Vorschau von Android L ebenfalls anfällig und die Forscher konnten ihrer Test-App die gleichen Rechte sichern wie Adobes Flash Player. (fab)