Ein 4 Jahre alten Android Bug könnte Malware zu 99 % der Geräte bringen.

Ein Team von Forschern Sicherheitsanspruchs einen vier Jahre alten Android Bug erkannt zu haben, der bösartige Trojaner als angezeigt werden können überprüft apps, Geräte mit Malware zu infizieren, während Benutzer von seiner Anwesenheit ahnungslos bleiben.

In der Regel werden apps verwenden kryptographische Signaturen überprüft: modifizierte Aktualisierungen sind somit abgelehnt, wenn der Schlüssel nicht von der Software-Entwickler bereitgestellt. Aber das Team von Bluebox Labs haben einen Weg gefunden, eine app APK-Datei zu ändern, ohne die Signatur — d. h. Schadcode kann leicht injiziert werden und Benutzer nie aufmerksam gemacht.

Das Team behauptet der Bug seit Android 1.6 Donut besteht, und dass es 99 Prozent der Geräte betrifft, die das Betriebssystem verwenden. Google teilte der Bug im Februar 2013, aber wegen der Art, wie, die Android aktualisiert, Rollout-es liegt an Gerätehersteller zu bieten Nutzern einen Patch für die Sicherheitslücke. Offenbar das Galaxy S4 bereits aktualisiert – aber unheimlich Googles Nexus Linie bleibt ein work-in-Progress.

Natürlich, bevor Sie in Panik zu viel ist es erwähnenswert, dass, selbst wenn bösartiger Code in eine bereits geprüfte app injiziert werden kann, die Software seinen Weg auf Ihr Handy zu finden muss. Und verwenden Sie ausschließlich das Spielgeschäft es ist nicht klar, wie das passieren würde – es sei denn, Sie sind überlistet gefälschte Updates von Drittanbieter-app-Stores oder aus dem Internet herunterladen. Nach Hause nehmen: Seien Sie vorsichtig, wenn Sie von Googles sicherer Hafen abweichen.

Bluebox präsentieren die Forschung noch in diesem Monat auf der Sicherheitskonferenz Black Hat in Las Vegas. [Bluebox über IDG über Rande]