Ein "Fake ID" Fehler in Android lässt Millionen von Handys anfällig

Ein Team von Sicherheitsexperten hat eine Sicherheitslücke in Googles mobiles OS betrifft Handys laufen Versionen bis zu und einschließlich 4.4 entdeckt – verlassen eine mögliche 82 Prozent der Android-Nutzer gefährdet.

Die Anfälligkeit von Bluebox Labors entdeckt und den Spitznamen Fake ID, ergibt sich aus wie auf Android app-Sicherheit aktiviert ist. Jede app bekommt seine eigene einzigartige kryptografische Signatur — es regelt, die aktualisiert werden können und welche Rechte es bekommt – und das ganze System läuft auf einer Kette von Identitätszertifikaten. Der Guardian erklärt wie das funktioniert:

Es gibt "Eltern" als auch "Kind Zertifikate," die gegeneinander, bei der Installation geprüft werden, damit sie passen zusammen und die app ist vertrauenswürdig. Das übergeordnete Element, in der Regel die ursprüngliche Software-Ersteller ergangene beweist effektiv das Kind verdient als vertrauenswürdig eingestuft, als Teil der sogenannten "Zertifikatkette".

Während dies in der Theorie ein anständiges Maß an Sicherheit bieten sollte, behauptet Bluebox Labs bis Kit Kat, Android nicht genug Kontrollen auf diese Zertifikate tragen. Wiederum bedeutet, dass eine Identität behaupten konnten, durch eine andere Identität, ausgestellt werden, wenn in der Tat war es nicht.

Die Folge ist, dass jede app ein Zertifikat enthalten könnte, die scheinbar von einer vertrauenswürdigen Quelle ausgehändigt – und Bluebox Labs haben dies bewiesen, mithilfe von Adobe Systems Zertifikaten –, die Berechtigungen des übergeordneten Elements zu missbrauchen. In der Tat, Adobe Systems Zertifikate apps das Recht einräumen, HTML-Code in anderen Anwendungen zu laden – das leicht auszuführenden bösartigen Code verwendet werden könnte. Das Android Near Field Communication-Zertifikat könnte ebenso missbraucht werden, um Zugriff auf Google Wallet-Finanzdaten in Gefahr setzen.

Bluebox Labs behauptet, dass Fake-ID in Android Version vorhanden gewesen 2.1 bis 4.4, aber immer noch Blätter 82,1 Prozent der OS anfällig installiert. Ein Patch jetzt erteilt wurde von Google für Android Partner und Android Open Source Project, aber es könnte noch eine Weile, bevor das macht es auf Ihr Handy. Also in der Zwischenzeit, wenn Ausführen von einer älteren Version als Kit Kat beobachten Sie zurück. [Wächter]

Bild via Flickr / Uncalno