Signatur von Android Apps ausgehebelt

Veröffentlicht am 4. Juli 2013 von Pascal

Das US-Unternehmen Bluebox hat nach eigenen Angaben einen Fehler in Android gefunden, der die Signatur, die jede App hat, aushebelt.

Wenn ein Entwickler eine App veröffentlicht, dann ist sie mit seiner Signatur versehen. Stellt nun ein Betrüger eine angepasste App zur Verfügung, hat diese eine andere Signatur als das Original. Eigentlich sollte Android dann eine Warnung zeigen, dass die Signaturen nicht übereinstimmen. Scheinbar gibt es aber eine Lücke, die es erlaubt am APK Änderungen vorzunehmen, die die Signatur nicht ändern.

Laut Bluebox soll die Lücke schon im vier Jahre altem Android 1.6 aka Donut vorhanden sein.

Am 1. August will die Firma die Details zum Android Bug 8219321 veröffentlichen. Samsung soll den Fehler im Android auf dem Galaxy S4 bereits behoben und geschlossen haben. Ein Bugfix für das Open Source Android soll demnächst folgen.

Vermutlich wird Google eine Korrektur auch zeitnahe für die Nexus Geräte zur Verfügung stellen. Ob Google die Lücke auf älteren Geräten etwa mit einer App fixen kann, die über den Play Store automatisch verteilt wird, bleibt abzuwarten.

Besonders gefährlich ist diese Lücke bei Systemapps. Unklar ist derzeit aber, ob sich die Lücke bei Updates überhaupt ausnutzen lässt oder sie nur bei der ersten Installation auftritt.

Bis auf weiteres sollte man Apps nur aus dem Play Store installieren.

[via]

Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter