Fast alle Android-Apps lassen sich in Trojaner umbauen

Bluebox Security hat auf eine vier Jahre alte Sicherheitslücke in Android hingewiesen, die angeblich bei rund 99 Prozent aller Apps ausgenutzt werden kann, um sie in einen Trojaner umzufunktionieren. “Diese spätestens mit Android 1.6 eingeführte Schwachstelle könnte jedes in den letzten vier Jahren auf den Markt gekommene Android-Smartphone betreffen – also etwa 900 Millionen Geräte”, schreibt CTO Jeff Forristal.

Forristal zufolge lassen sich Anwendungen so modifizieren, dass sie Daten abgreifen und diese an ein Botnetz schicken. Weder Google Play noch das Telefon oder der Nutzer sollen das bemerken können. Das Kernproblem stecke in dem Verfahren zur Verifizierung und Installation von Android-Apps. Dort soll eine kryptografische Signatur Manipulationen ausschließen. Die gefundene Schwachstelle ermöglicht es aber, Inhalte und Anwendungen zu verändern, ohne dass dies Einfluss auf die Signatur hätte.

Dies legt nahe, dass es sich um einen so genannten Kollisionsangriff handelt, wie ihn schlecht implementierte Hash-Algorithmen ermöglichen. Forristal nennt keine weiteren Details. Auch legt er keinen Proof-of-Concept-Code vor, sondern nur einen Screenshot, der von einem modifizierten HTC-Smartphone stammen soll. Auf der Konferenz Black Hat 2013 (ab 27. Juli in Las Vegas) will er die Schwachstelle detailliert schildern.

Nach eigenen Angaben hat Forristal Google informiert und der Fehler die Identifikationsnummer 8.219.321 zugewiesen bekommen. Google wollte keinen Kommentar abgeben. In der Fehlerdatenbank des Android Open Handset Alliance Project findet sich die Schwachstelle (noch) nicht.

Forristal erklärt, die Schwachstelle könne nur behoben werden, indem Gerätehersteller ihre Firmware aktualisieren. Zudem müssten Nutzer informiert werden, wie sie ein Firmware-Update ausführen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.