Nerdzine Technik-Magazin rund um Smartphones, Gadgets und ComputerDer IT-Sicherheitsanbieter Bluebox will in Android eine Schwachstelle gefunden haben, die fast alle Android-Geräte betrifft. Seit über drei Jahren soll der Fehler bereits existieren und Angriffe, Aushorchen und Manipulation von Geräten ermöglichen. 99 Prozent aller Android-Geräte soll vom Sicherheitsleck betroffen sein.
Sicherheits-Apps für Android: Nicht mal sie helfen gegen diese Lücke!
Laut Bluebox Security – einem auf mobile Sicherheit spezialisierten Unternehmen – so es in Googles Betriebssystem Android eine Sicherheitslücke geben, die 99 Prozent aller Android-Geräte betrifft. Fast alle Geräte seit Android 1.6 sind anfällig. Das sind in den letzten Jahren fast 900 Millionen Devices!
Änderung von Apps bei gleichbleibender Signatur
Ausgenutzt werden kann die Lücke von Angreifern, die den APK-Code einer herkömmlichen Code verändern ohne dabei die Signatur der App zu verändern. Gerade diese soll aber vor solchen Änderungen schützen. APK ist das Dateiformat für Android-Anwendungen und steht für „Application Package File“. Jede einzelne APK-Datei hat eine eigene Signatur. Normalerweise kann anhand ihr erkannt werden, ob Änderungen – etwa durch Schadsoftware – an der Installationsdatei gemacht wurden. Bei jeder Manipulation der APK-Datei ändert sich die Signatur.
Passende News: Nur wenige Sicherheits-Apps für Android schützen wirklich
Ein großes Risiko sieht Bluebox bei Apps von Herstellern, da sie vollen Zugriff auf das Android-System haben. Ist eine solche App manipuliert, könnten Angreifer ohne weiteres Passwörter auslesen. Dazu muss die manipulierte Datei auf das Android-Gerät gebracht und ausgeführt werden. Dann stehen dem Angreifer aber viele Funktionen zur Verfügung: Etwa die Bedienung aus der Ferne, Telefonanrufe oder der Versand von SMS – ohne dass der Handybesitzer dies bemerkt.
Vorsicht bei App-Installation aus alternativen App-Stores
99 Prozent klingt erstmal gefährlich. Allerdings ist die Lücke vor allem für Nutzer gefährlich, die Apps aus alternativen App-Stores installieren. Wer Apps lediglich aus Googles „Play Store“ oder Amazons App-Store bezieht, ist erst einmal auf der sicheren Seite. Bluebox hat Google bereits Februar 2013 auf die Sicherheitslücke hingewiesen. Daraufhin soll Google im März 2013 Hersteller auf den Fehler aufmerksam gemacht haben. Jetzt liegt es am Suchmaschinenkonzern den Fehler zu beheben. Noch ist unklar, wann ein Sicherheits-Update und ob es überhaupt für ältere Android-Versionen kommt. Lediglich bei Samsungs Galaxy S4 soll das Sicherheitsleck bereits geschlossen sein, heißt es auf der australischen Seite CIO. In der Android-Basis-Version ist der Fehler noch enthalten, so dass sogar alle Nexus-Geräte davon betroffen sind.
Nerdzine zur Sicherheitslücke: Wir raten euch genau darauf zu achten, woher eine Installationsdatei stammt. Nur wenn dem Anbieter der App vertraut werden kann, sollte die betreffende Datei installiert werden. Bis der Fehler gefixt ist, kann außerdem in den Einstellungen die „Installation von Anwendungen aus nicht vertrauenswürdigen Quellen“ deaktiviert werden.
Weiterführende Links:
- Android-Trojaner: Kriminelle plündern Online-Bankkonten (Nerdzine-News)
- WhatsApp Alternativen: Sichere Messenger für Android und iOS (Nerdzine-News)
