Das Wichtigste zuerst: Wer seine Apps nur aus dem Google Play-Store herunterlädt, den Download von Drittplattformen deaktiviert hat und seinen Kopf auch mal zum Denken benutzt, braucht sich eigentlich keine großen Sorgen zu machen. Denn die seit gestern öffentlich bekannte Sicherheitslücke mit der Nummer 8219321, die Bluebox Security nach eigenen Angaben vor geraumer Zeit entdeckt hat, betrifft zwar nahezu alle Geräte, die ab Android 1.6 aufwärts laufen, dürfte aber nur ziemlich schwierig auszunutzen sein.
Von „Android-Desaster“ bis „99% aller Geräte betroffen“
Hacker können über das Leck Apps dahingehend ändern, dass deren verschlüsselte Signatur gleich bleibt, also vom Store und vom Smartphone als geprüft sicher eingestuft wird. Auf diese Weise lässt sich dem System eine unsichere – da präparierte – App als sicher vorgaukeln. Wird nun eine Anwendung manipuliert, die naturgemäß Root-Rechte genießt, reichen die möglichen Folgen von Datendiebstahl bis hin zu Fremdkontrolle über das Smartphone.
Medien und Blogs überschlagen sich daher gerade und Warnungen werden ausgesprochen. Immer wieder wird dabei beschrieben, was Hacker über den Exploit eigentlich alles machen können, wenn es ihnen dank der Schwachstelle gelingt, präparierte Anwendungen auf das Smartphone spielen. Und tatsächlich ist die Bandbreite laut Bluebox enorm:
Die Applikation kann dann nicht nur beliebige Daten auf dem Gerät auslesen (Mail, SMS, Dokumente, etc.) und sämtliche gespeicherten Passwörter abrufen, sondern im Kern alle Funktionen des Telefons übernehmen (Anrufe tätigen, Nachrichten senden, Kamera einschalten, Anrufe mitschneiden). Letztlich am gefährlichsten ist allerdings, dass sich die allzeit eingeschalteteten und verbundenen Geräte für den Aufbau eines Botnetzes eignen.
Gefahr weitgehend gebannt?
Auch wenn die Sicherheitsexperten anscheinend eigenwillige Prioritäten haben – Datendiebstahl finde ich persönlich jedenfalls wesentlich schlimmer als das Kapern eines Rechners für ein Botnetz -, klingt das alles zunächst alarmierend. Ähnliches gilt für die implizite Warnung, dass Android wegen des Bugs eigentlich bereits seit vier Jahren ein völlig offenes und unsicheres Betriebssystem ist.
Man stehe aber bereits seit Februar in Kontakt zu Google, erklärte Bluebox. Mittlerweile gibt es daher wohl auch einen Patch, mit dem die Smartphone-Hersteller ihre Geräte absichern können. Ob und in welchen Fällen dies bereits geschehen ist, bleibt aber nebulös. Zumindest scheint die Gefahr weitgehend gebannt, denn genaueres zum Exploit, also wie er detailliert funktioniert und wie geänderte Dateien verbreitet werden können, will Bluebox bereits auf der Black Hat-Konferenz Ende Juli bekanntgeben. Unwahrscheinlich, dass man dort potenziellen Hackern eine Anleitung liefert.
Mitdenken hilft
Sicher ist gleichwohl, dass es sich um eine beträchtliche Sicherheitslücke im System handelt. Bleibt dennoch die Frage, wie die geänderten APK-Dateien auf das Gerät gelangen sollen. Solange man seine Apps nur über Google Play herunterlädt, dürfte man sicher sein – hier wäre schon ein gehackter Entwickler-Account nötig, um die geänderten Apps unter das Android-Volk zu bringen. „The Verge“ zufolge hat Google seinen Store aber eh schon per Update gesichert und diesen Vertriebsweg somit geschlossen.
Wer aber die Installation aus anderen Quellen als Google Play oder beispielsweise dem Samsung Store zulässt, öffnet ohnehin womöglich mehr als einer Bedrohung die Tür und nimmt – bewusst oder unbewusst – generell ein hohes Risiko in Kauf. Also doch viel Lärm um eher wenig? Die User und Kommentatoren sind sich recht einig: Der Exploit ist nur so gefährlich, wie man selbst es zulässt. Manche glauben an eine Marketingaktion, mit der das recht junge Unternehmen Bluebox Security auf sich aufmerksam machen will; andere sehen eine Verschwörung, die die Leute zurück in den „Walled Garden“ ziehen soll.
So wie es aussieht, ist das ganze jedenfalls nicht so wild, wie es an manchen Stellen aufgezogen wird. Und ich hoffe, dass das auch so bleibt.
