Android-Malware: Rechteausweitung durch OEM-Zertifikate von Samsung und Co
Zertifikate für die Android-App im Systemabbild konnten Angreifer zum Signieren ihrer Malware missbrauchen. Die erhält damit Systemberechtigungen.
(Bild: SvetaZi/Shutterstock.com)
Google warnt vor Malware-Apps, die OEM-Plattform-Zertifikate zum Signieren missbrauchen. Damit erhalten diese Apps weitreichenden Systemzugriff und können etwa auf Nutzerdaten zugreifen.
Mit Plattform-Zertifikaten signieren OEMs wie Samsung, LG, Mediatek und weitere ihre zentrale "android"-App im Systemabbild. Diese läuft mit der hoch privilegierten User-ID "android.uid.system". Jede App, die mit so einem Zertifikat versehen ist, kann erklären, dass sie mit derselben User-ID laufen will und damit dieselben Zugriffsrechte erhalten wie das Android-Betriebssystem. Und das, ohne dass Smartphonenutzende dazu befragt würden, ohne jede weitere Interaktion.
Mehrere OEM-Plattform-Zertifikate betroffen
Insgesamt zehn OEM-Plattform-Zertifikate listet Google in einer Bug-Meldung auf. Mit jedem haben Cyberkriminelle mindestens je eine Malware-App signiert, zu der Google einen SHA-256-Hash als Erkennungsmerkmal liefert. Die Suche der Malware-Hashes auf Virustotal führt zu den Zertifikatsherausgebern. Neben eher unbekannten chinesischen Firmen finden sich Samsung, LG sowie gleich drei Zertifikate von Mediatek.
In der Fehlermeldung schlagen die Google-Mitarbeiter vor, dass betroffene Unternehmen ihre Plattform-Zertifikate durch neue private und öffentliche Schlüssel ersetzen sollten. Zudem sollten sie interne Untersuchungen anstoßen, die der Ursache der Schlüsselverluste auf den Grund gehen und daraus Gegenmaßnahmen ableiten, um solche Zwischenfälle künftig zu vermeiden. Außerdem sollten möglichst wenige Apps mit Plattform-Zertifikaten signiert werden, damit der Aufwand der Schlüsselrotation bei künftigen derartigen Vorfällen geringer wird.
Gefahr vorerst gebannt
Die betroffenen Hersteller hat Google kontaktiert und diese hätten Gegenmaßnahmen ergriffen, um die Auswirkungen für Nutzerinnen und Nutzer zu minimieren. Am Wochenende konnten die Google-Entwickler daher mitteilen, dass einerseits die OEM-Partner Gegenmaßnahmen zum Schutz implementiert haben. Zudem hat Google andererseits weitreichende Erkennungen implementiert, die bei der Untersuchung von Systemabbildern zum Einsatz kommen.
Google Play Protect erkenne entsprechend signierte Malware. Zudem gebe es keine Hinweise, dass solche Malware im Google Play Store erhältlich war oder ist. Android-Nutzer sollten gegebenenfalls nach den App-Hashes auf ihrem Smartphone suchen und entdeckte Apps deinstallieren, sofern sie nicht den Google Play Store und Google Play Protect nutzen.
Immer wieder fallen Malware-Apps für Android und andere Mobilbetriebssysteme auf. Teilweise bleiben sie sogar in den jeweiligen App-Stores verfügbar, wie zuletzt Apps mit mehr als einer Million Installationen, die aggressiv Werbung einblendeten und auf Phishing-Seiten umleiteten.
(dmk)
