Sonstiges

Kritische Sicherheitslücke in Android ab 1.6 gefunden – Panik ist dennoch unangebracht

Android Logo Das Wichtigste zuerst: Wer seine Apps nur aus dem Google Play-Store herunterlädt, den Download von Drittplattformen deaktiviert hat und seinen Kopf auch mal zum Denken benutzt, braucht sich eigentlich keine großen Sorgen zu machen. Denn die seit gestern öffentlich bekannte Sicherheitslücke mit der Nummer 8219321, die Bluebox Security nach eigenen Angaben vor geraumer Zeit entdeckt hat, betrifft zwar nahezu alle Geräte, die ab Android 1.6 aufwärts laufen, dürfte aber nur ziemlich schwierig auszunutzen sein.

Von „Android-Desaster“ bis „99% aller Geräte betroffen“

Hacker können über das Leck Apps dahingehend ändern, dass deren verschlüsselte Signatur gleich bleibt, also vom Store und vom Smartphone als geprüft sicher eingestuft wird. Auf diese Weise lässt sich dem System eine unsichere – da präparierte – App als sicher vorgaukeln. Wird nun eine Anwendung manipuliert, die naturgemäß Root-Rechte genießt, reichen die möglichen Folgen von Datendiebstahl bis hin zu Fremdkontrolle über das Smartphone.

Medien und Blogs überschlagen sich daher gerade und Warnungen werden ausgesprochen. Immer wieder wird dabei beschrieben, was Hacker über den Exploit eigentlich alles machen können, wenn es ihnen dank der Schwachstelle gelingt, präparierte Anwendungen auf das Smartphone spielen. Und tatsächlich ist die Bandbreite laut Bluebox enorm:


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Die Applikation kann dann nicht nur beliebige Daten auf dem Gerät auslesen (Mail, SMS, Dokumente, etc.) und sämtliche gespeicherten Passwörter abrufen, sondern im Kern alle Funktionen des Telefons übernehmen (Anrufe tätigen, Nachrichten senden, Kamera einschalten, Anrufe mitschneiden). Letztlich am gefährlichsten ist allerdings, dass sich die allzeit eingeschalteteten und verbundenen Geräte für den Aufbau eines Botnetzes eignen.

Gefahr weitgehend gebannt?

Auch wenn die Sicherheitsexperten anscheinend eigenwillige Prioritäten haben – Datendiebstahl finde ich persönlich jedenfalls wesentlich schlimmer als das Kapern eines Rechners für ein Botnetz -, klingt das alles zunächst alarmierend. Ähnliches gilt für die implizite Warnung, dass Android wegen des Bugs eigentlich bereits seit vier Jahren ein völlig offenes und unsicheres Betriebssystem ist.

Man stehe aber bereits seit Februar in Kontakt zu Google, erklärte Bluebox. Mittlerweile gibt es daher wohl auch einen Patch, mit dem die Smartphone-Hersteller ihre Geräte absichern können. Ob und in welchen Fällen dies bereits geschehen ist, bleibt aber nebulös. Zumindest scheint die Gefahr weitgehend gebannt, denn genaueres zum Exploit, also wie er detailliert funktioniert und wie geänderte Dateien verbreitet werden können, will Bluebox bereits auf der Black Hat-Konferenz Ende Juli bekanntgeben. Unwahrscheinlich, dass man dort potenziellen Hackern eine Anleitung liefert.

Mitdenken hilft

Sicher ist gleichwohl, dass es sich um eine beträchtliche Sicherheitslücke im System handelt. Bleibt dennoch die Frage, wie die geänderten APK-Dateien auf das Gerät gelangen sollen. Solange man seine Apps nur über Google Play herunterlädt, dürfte man sicher sein – hier wäre schon ein gehackter Entwickler-Account nötig, um die geänderten Apps unter das Android-Volk zu bringen. „The Verge“ zufolge hat Google seinen Store aber eh schon per Update gesichert und diesen Vertriebsweg somit geschlossen.

Wer aber die Installation aus anderen Quellen als Google Play oder beispielsweise dem Samsung Store zulässt, öffnet ohnehin womöglich mehr als einer Bedrohung die Tür und nimmt – bewusst oder unbewusst – generell ein hohes Risiko in Kauf. Also doch viel Lärm um eher wenig? Die User und Kommentatoren sind sich recht einig: Der Exploit ist nur so gefährlich, wie man selbst es zulässt. Manche glauben an eine Marketingaktion, mit der das recht junge Unternehmen Bluebox Security auf sich aufmerksam machen will; andere sehen eine Verschwörung, die die Leute zurück in den „Walled Garden“ ziehen soll.

So wie es aussieht, ist das ganze jedenfalls nicht so wild, wie es an manchen Stellen aufgezogen wird. Und ich hoffe, dass das auch so bleibt.

Über den Autor

Thorsten Nötges

Thorsten Noetges ist Nerd, Gamer,und seit 1995 im Internet zu Hause. Er hat von 2013 bis 2014 über 100 Artikel auf BASIC thinking veröffentlicht.

3 Kommentare

  • Im Grunde ist das eine Katastrophe, nur weil sie auf viele Durschnittsbenutzer keine Auswirkungen hat wird sie nicht weniger schlimm. Es mag Leute geben, die sich in der Vergangenheit auf diese Signaturen verlassen haben.
    Übrigens redet man hier nicht von einer „verschlüsselten Signatur“ und das ist auch nicht die korrekte Übersetzung von „cryptographic signature“.

  • Genau einfach mal entspannt bleiben, genau wie bei Windows, dessen Exploit sind nur so gefährlich, wie man selbst es zulässt. Und solange man seine Apps nur per CD kauft und installiert, dürfte man sicher sein.

    ..Ups .. Botnetze mit 30 Mio. Drohnen wo kommen die den her. Dabei haben wir doch alle die Möglichkeit unseren Kopf zu gebrauchen oder könnte es sein, dass Millionen von Kindern, Nicht-Technik-Affinen, überfordert und manchmal sogar Angst vor der Technik haben und einfach bei Sicherheits- und Warnmeldungen „Okay“, „danke“ und „hauptsache weg“ drücken?

    Also statt den Menschen wieder die warme Kuscheldecke a la „Keine Panik“ zu reichen, wäre ein „Passt auf was Ihr tut“ und „informiert euch“ viel angebrachter.

    G Kai

    P.S.: Zu sagen: „Datendiebstahl finde ich persönlich jedenfalls wesentlich schlimmer als das Kapern eines Rechners für ein Botnetz“ ist in etwa so wie „Drogenkonsum find ich schlimm, Dealen ist okay“

    • Deine Meinung.

      Der typische BT-Leser dürfte aber über das absolute Newbie-Stadium hinweg sein. Außerdem verwechselst du hier offenbar Vorsicht mit Panik – die Worte haben nämlich eine unterschiedliche Bedeutung. Wenn dein Blutdruck wieder auf Normalmaß angekommen ist, fällt es dir vielleicht auch auf ;-). Zu Vorsicht hat der Text eindeutig geraten, von kopfloser Panik distanziert er sich.

      Im Übrigen sind Phrasen wie „Passt auf was ihr tut“ reichlich sinnentleert. Ich denke, darauf hinzuweisen, dass man Apps nicht außerhalb des Play Stores installieren sollte, ist schon fast das einzige, was man tun kann. Und das steht im Text. Ich weiß nicht, über was man sich da noch „informieren“ sollte. Und falls du nun mit Virenschutz etc. für Android argumentieren willst: Diese Apps taugen nach meinem Wissensstand in der Regel nichts oder nicht viel.

      Also zusammengefasst: Eine „warme Kuscheldecke“ kann ich nirgends erkennen. 🙂