Weiterer Fehler in Androids Signaturprüfung

15.07.2013 14:25 Uhr Kristina Beer

Chinesische Blogger wollen eine weitere Schwachstelle gefunden haben, mit der Androids Signaturüberprüfung ausgetrickst werden kann. Zumindest CyanogenMod-Nutzer können schon patchen.

Chinesische Blogger haben eine Sicherheitslücke im Android-Betriebssystem entdeckt [1], die eine ähnliche Wirkung haben soll wie die Schwachstelle, die vor zwei Wochen von der Firma Bluebox veröffentlicht [2] wurde. Das Unternehmen hatte gezeigt, dass sich Androids App-Signaturprüfung austricksen lässt. Bereits installierte Apps können so manipuliert werden, dass Angreifer die Kontrolle über das Gerät erhalten – je nachdem, wie viele Rechte die manipulierte App inne hat.

Auch durch die neue Sicherheitslücke kann man Androids-Signaturprüfung überwinden. Dies funktioniert über die Manipulation des Headers der APK-Datei. So kann man der App nachträglich Code hinzufügen, ohne dabei die Signatur ungültig zu machen.

Beide Sicherheitslücken sollen mit dem CyanogenMod-Update [3] auf die Version 10.1.2 behoben worden sein. Laut der australischen Website CIO [4] ist auch Google schon tätig geworden und hat zumindest einen Patch für die Bluebox-Lücke entwickelt. Der soll aber bisher nur für das Samsung S4 ausgeliefert worden sein.

Bluebox hatte die Lücke zunächst nur oberflächlich beschrieben und wollte die Schwachstelle bei der BlackHat-Konferenz [5] ausführlich vorstellen. Dem Unternehmen ist allerdings ein Entwickler zuvorgekommen: Er veröffentlichte auf Grundlage des von Google entwickelten Patches einen beispielhaften Exploit [6]. (kbe [7])

URL dieses Artikels:
https://www.heise.de/-1917183

Links in diesem Artikel:
[1] http://blog.sina.com.cn/s/blog_be6dacae0101bksm.html
[2] https://www.heise.de/news/Androids-Code-Signatur-laesst-sich-umgehen-1911077.html
[3] http://www.cyanogenmod.org/blog/this-week-in-cm-july-12-2013
[4] https://www.cio.com.au/article/466577/vulnerability_allows_attackers_modify_android_apps_without_breaking_their_signatures/
[5] http://www.blackhat.com/us-13/briefings.html#Forristal
[6] https://www.heise.de/news/Exploit-fuer-Luecke-in-Androids-Code-Signing-veroeffentlicht-1913705.html
[7] mailto:kbe@heise.de