Scanner warnt vor Android-Lücke

Bei Google Play und in Amazons Android-Store bietet Bluebox eine kostenlose App an, die das Mobilgerät auf den kürzlich von derselben Firma entdeckten Code-Signatur-Fehler untersucht. Außerdem meldet sie, ob man auf dem Gerät Software aus anderen Quellen als Google Play beziehen kann und ob bereits Software installiert ist, die den Signatur-Bug ausnutzt.

Unter den Nutzerbewertung bei Play halten sich Zustimmung und Ablehnung fast die Waage. Kunden kritisieren, dass nicht alle Apps untersucht würden und dass das Programm eine Einstellung anzeigt, die der Benutzer selbst vorgenommen hat. Auch werden Zweifel an der Gefährlichkeit des Bugs geäußert: Aus Play bezogene Software ist nachweislich nicht davon betroffen.

Bluebox hatte den Fehler vor einigen Tagen publik gemacht, ohne Details dazu zu verraten. Das sollte am 1. August 2013 auf der BlackHat-Konferenz geschehen. Ein Außenstehender ist jedoch dem Unternehmen zuvorgekommen: Er untersuchte den Patch der CyanogenMod-Entwickler und entwickelte daraufhin einen beispielhaften Exploit. Google will den Fehler bereits im März 2013 behoben haben, bislang gab es jedoch nur für Samsungs Galaxy S4 ein Update, das die Korrektur enthält.

Der Bug beruht darauf, dass Android mehrfach vorhandene Dateien in einer APK-Datei nicht erkennt. Dieses dem bekannten ZIP entsprechende Format fasst die Dateien einer App zu einem Paket zusammen, das ebenfalls eine Liste mit Hash-Werten aller Dateien enthält. Normalerweise sollte Android die Hash-Werte der im Archiv enthaltenen Files damit vergleichen und bei Abweichungen die Installation abbrechen. Kommt jedoch ein Dateiname zweimal im APK-Archiv vor, prüft Android bei einer Variante den Hash und installiert die andere. So lassen sich dem Betriebssystem manipulierte Programme unterschieben, allerdings nicht aus Googles Play. (ck)