Fake ID: Lücke in Zertifizierung macht etliche Android-Apps unsicher
Google erlaubt manchen Anbietern, Apps mit erhöhten Berechtigungen zu veröffentlichen. Deren Zertifikate werden seit Jahren von Hackern für Malware missbraucht.
Unter falscher Kennung konnten seit Januar 2010 (seit Android 2.1!) etliche Malware-Apps in den Umlauf gelangen, die sich dem Android-Kern gegenüber als Flash-Player, 3LM-Erweiterung oder sogar als Google Wallet ausgeben und damit an Rechte wie NFC-Steuerung oder einen Ausbruch aus der Webview-Sandbox gelangen. Der US-amerikanische Sicherheitsdienstleister Bluebox erklärt den Trick wie folgt:
“Ein Angreifer kann ein neues, digitales Identitätszertifikat erstellen, einen Antrag fälschen, laut dem dieses Zertifikat von Adobe ausgestellt wurde und die Anwendung mit einer Zertifikat-Kette signieren, die die bösartige Identität und das Adobe-Zertifikat beinhaltet. Bei der Installation wird der Android Package Installer nicht den Antrag des bösartigen Identitäts-Zertifikates verifizieren und eine Paket-Signatur erstellen, die beide Zertifikate beinhaltet. Dies wiederum trickst den Zertifikate-überprüfenden Code im Webview-Plugin-Manager aus (der die Kette explizit auf das Adobe-Zertifikat überprüft) und ermöglicht der Anwendung die Erlangung der speziellen Privilegien des Webview-Plugins - was zu einem Ausbruch aus der Sandbox [dem gesicherten und vom Android-Kern abgeschotteten Bereich] und dem Einschleusen des Schadcodes führt, der als Webview-Plugin in andere Anwendungen implementiert wird.
Das obige Beispiel lässt sich also auf eine Reihe von Apps anwenden, deren Hersteller Googles besonderes Vertrauen erhielten, etwas mehr Rechte zu erhalten, als die übliche Taschenlampen-App. Deren Zertifikate wurden fest in den Android-Kern hinein programmiert, wie aus dem Bericht weiter hervorgeht. Doch genau dies scheint nun das Verhängnis zu sein.
Welche Geräte sind betroffen?
Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben; doch wurde das Problem hierbei auf Rechte-Seite gelöst (der Flash Player hat jetzt auch im Original weniger Befugnisse), nicht aber auf Verifizierungs-Seite. Daher sind sämtliche Geräte mit den 3LM-Geräte-Erweiterungen (was fast alle sind) potenziell noch immer angreifbar. Und die Formulierung “Prinzipiell alles, was von verifizierten Signaturketten abhängt, um eine Anwendung zu authentifizieren, könnte empfindlich sein”, macht Fake ID zu einer generellen Bedrohung, weshalb wir definitiv an dem Fall dran bleiben und Euch auf dem Laufenden halten werden.
Ein Google-Kern-Update zum Schließen der Lücke ist bereits unterwegs. Auch der neue Dynamic Security Provider der Google Play Services 5 liefert neue Ansätze, derlei Zertifizierungs-Lücken schneller Einhalt zu gebieten. Bluebox liefert indes einen kostenlosen Security Scanner, mit dem sich Eure Apps schon jetzt auf den Exploit abklopfen lassen.
Quelle: Bluebox Security
CM11s auf meinem 1+1 ist sicher :-)
>Betroffen von dem Adobe-Exploit sind alle Geräte, die eine ältere Android-Version älter als 4.4 KitKat haben;
Das stimmt offenbar nicht! Anderen Aussagen zufolge ist auch KitKat und die L-Preview betroffen. Stellvertretend den Artikel von Heise:
http://m.heise.de/newsticker/meldung/Fake-ID-Zertifikats-Schmu-erlaubt-Android-Apps-den-Ausbruch-aus-der-Sandbox-2278430.html?from-classic=1
also laut bluebox trotz kitkat von betroffen! Samsung s5. na da stimmt dann entweder die Aussage mit 4.4 nicht oder die bluebox prüft nicht richtig. wat Nu?
Wer keine nicht-Play Store Apps installiert, keine dubiosen Links/E-Mail Anhänge öffnet/anklickt und zudem etwas Verstand besitzt der ist eigentlich schon ziemlich sicher mit Android - aber vollkommen sicher ist man natürlich nicht, zumindest solange nicht, solange Menschen den Programmcode schreiben - und somit Fehler entstehen.
toll das google so schnell versucht die lücken zu schließen. schade nur das so mancher Hersteller bis zu 1 jahr bis gar nicht braucht um diese mit in die eigene firmware einzuspielen.
thema schnelle updates eben.
d.h. manch ein nexus user hat sofort wieder ein sicheres gerät und andere warten ewig das die lücke geschlossen wird.
Oder eine CustomROM. CM und Co. bieten Sicherheitsupdates nach nur wenigen Tagen an (Nightlies) -- siehe Towelroot
Stimmt. Aber auf dauer wird das problem dadurch behoben werden, dass Google immer mehr in die Play Services auslagert und so Sicherheitsrelevante Updates verteilen kann, ohne das irgendein Hersteller noch dazwischen hängt.
Und wenn ich jetzt wie letztens (beim Simplocker-Artikel) die Tatsache, dass Android nicht sicher ist, ausspreche, darf ich mir wieder anhören, was das für ein Blödsinn sei, 100%ige Sicherheit unmöglich ist (tatsächlich?!) und dass die Nutzer selber Schuld sind.
("Daumen runter"-Kommentar, weil man eine unbequeme Wahrheit ausspricht)
Nun ja natürlich wird es immer so etwas geben. BEi iOS gab es vor 2 Jahren solche einen ähnlichen Fall mit Apps. Wichtig ist, dass schnell reagiert wird. 100%ige Sicherheit kann es niemals geben aber eben rasche Updates wie es ja auch Apple vormacht sind da dann einfach Pflicht.
Deswegen verteilt Google ja mittlerweile solche Sicherheitspatches über die Google Play Services unabhängig von der Android Version. Bekommt der User in der Regel gar nichts von mit.
Genau das ist einer meiner größten Kritikpunkte. Die Lücken werden bestenfalls mit der aktuellen oder nächsten Version geschlossen. Wie hier mit Android 4.4; aber was bringt das jetzt? 10% aller Android Geräte sind geschützt, klasse. In 2 Jahren vielleicht 50%, wenn überhaupt. Die Chinesen bringen ja immer noch fleißig Smartphones mit 4.2 Jelly Bean.
Nein Frank, mittlerweile über die Play Services. Es ist nicht so als würde es Google komplett am Hintern vorbeigehen, wie sie die Updateproblematik und die damit fehlende Verteilung von Patches in den Griff bekommen wollen.
Gibt es dafür irgendein Beleg, dass dadurch tatsächlich schon Sicherheitslücken geschlossen wurden? Habe auch schon gelesen, dass es mittlerweile möglich sein soll, aber bisher gab es keine einzige Meldung über beispielsweise "Google Play Services UPDATE X schließt Sicherheitslücke Y". Und es gab in letzter Zeit so einige News über neu(-entdeckte) Lücken.
Also?
"Mittlerweile" war jetzt wohl etwas zu hoch gegriffen ;) Sie haben es vor 4 Wochen auf der I/O angekündigt. Ob es tatsächlich "mittlerweile" so läuft, kann ich nicht mit Sicherheit sagen, ich arbeite ja nicht bei Google. Irgendwo war was von "Google aktualisiert die Play Services aller 6 Wochen zu lesen" finde den Link aber grad nicht mehr.
Sie sind sicherlich dran und es ist nicht so, als würde Google an dem Problem nicht arbeiten und ich denke nicht, dass sie die User nun bis zum L-Release hinhalten.
Ansonsten nochmal zum Thema: http://magazin.intel.de/android-vs-google-play-services-tod-dem-versions-wahnsinn/
Edit: Falls dieses Update bereits davon spricht: http://www.androidpolice.com/2014/06/25/google-play-services-5-0-is-rolling-out-with-new-security-tools-android-wear-support-and-more/ - "Dynamic Security Provider — Offers an alternative to the platform's secure networking APIs that can be updated more frequently, for faster delivery of security patches. " - dann ist es auf meinem Gerät bereits installiert (Version 5.0.84)
Richtig, die neuste Play Service Version hat durch das Update die Möglichkeit, Sicherheitspatches zu verteilen. Nichtsdestotrotz ist es aber nur die Möglichkeit und bisher gab es noch keinen Fall, in dem tatsächlich ein Sicherheitsupdate so verteilt wurde. Natürlich hast du Recht, dass diese Änderung noch sehr neu ist und ich habe diese auf der Google I/O auch sehr befürwortet! Aber solange Google kein einziges Mal gezeigt hat, dass nun wirklich 100% der Geräte mit Play Store Zugriff zeitnahe Sicherheitsupdates erhalten, bleibt meine Aussage so stehen.
Sprich, solange du kein Dokument einsehen kannst in dem verzeichnet ist welche Lücke wann mit welchem Patch gefixed wurde, hälst du die Update-unabhängige BugFixing-Methode über die Play Services für ausgedachten Blödsinn?
Mal ehrlich, stellst du dich extra so an? Wenn irgendeine Sicherheitslücke von Google geschlossen wird und ein Patch verfügbar ist, wird darüber berichtet. Das war bisher immer schon so und wird auch in Zukunft so sein. Selbst Google wird doch daran interessiert sein, dies zu kommunizieren. Also komm doch nicht mit irgendwelchen "Dokumenten" die am besten noch intern und geheim sein sollen. Ein einfaches Update mit Changelog wie wir es seit JAHREN schon kennen reicht doch schon. "ausgemachter Blödsinn" habe ich nie gesagt, sondern es ist momentan einfach eine Möglichkeit, die noch NIE genutzt wurde. Was bringt es denn, wenn Google sich bei solchen Fixes jetzt 6 Monate oder mehr Zeit lassen würde? Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert. Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden. Towelroot und Masterkey sind beispielsweise immer noch bei jedem 4.3 Android Smartphone ungefixt. Scheiß egal, was momentan über die tollen Play Services möglich ist. Dadurch schließen sich die Sicherheitslücken auch nicht von alleine, aber dafür muss man vielleicht mal der Wahrheit ins Auge sehen, was dir einfach nicht möglich ist.
"stellst du dich extra so an?"
"Und das du mir dann auch noch die Worte verdrehen musst, zeigt doch, wie nötig du es hast, alles über Android schön zu reden."
"was dir einfach nicht möglich ist."
Schade, dass Diskussionen mit dir am Ende immer in so eine persönlich angreifende Richtung laufen müssen.
"Wie effektiv die Play Services Updates sind, muss sich erst noch zeigen. Jetzt schon das Problem als gelöst darzustellen ohne das ein einziger Patch verteilt wurde ist einfach lächerlich und unreflektiert."
Richtig, hab nichts anderes behauptet. Genauso lächerlich und unreflektiert ist es die Sache, die grade vor 4 Wochen vorgestellt wurde jetzt schon schlecht zu reden und indirekt behaupten zu wollen, dass das Problem ungelöst ist und bleibt, weil bis jetzt angeblich noch nichts drüber gepatcht wurde, da du noch keinen Changelog innerhalb der Play Services gelesen hast.
Siehst du, du verdrehst wieder die Worte. Schade, dass du einfach nicht anders eine Diksussion führen kannst. Ich habe NICHT gesagt, das Problem BLEIBT ungelöst, sondern es IST momentan ungelöst. Und solange es keine entsprechenden Patches GIBT, verbessert das die Sicerheitssituation in Android NICHT. Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an, obwohl Google exakt 0 Mal aktiv wurde und aktuell >85% der Geräte Towelroot, Simplocker und Fake ID UNGESCHÜTZT sind. Wenn diese behoben werden, wird es wie bisher bei jeder Spftware der Welt seit Jahrzehnten einen Changelog geben.
Wichtige Worte wurden in Blockbuchstaben hervorgehoben. Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen.
"Du stellst es so dar, als gehörten diese Probleme der Vergangenheit an ..."
Wer verdreht jetzt hier wem die Worte?
Ich habe lediglich Deine Aussage genommen und dargestellt was du damit im Umkehrschluss aussagen willst, nichts weiter. Worte verdrehen ist was anderes.
"Vielleicht verstehst du es jetzt einmal und ich muss nicht alles 5 Mal wiederholen."
Danke, Herr Oberlehrer!