In einem so umfangreichen und weit verbreiteten Betriebssystem wie Android sind Sicherheitslücken keine Besonderheit und schlummern noch in Massen auf den Smartphones der Nutzer – und Google verteilt monatlich Sicherheits-Updates um die Ausnutzung zu verhindern. Jetzt haben Sicherheitsforscher eine Lücke in der grundlegenden Struktur von Apps und dem Betriebssystem entdeckt, mit der selbst signierte und vermeintlich sichere Apps modifiziert werden können.
Jede Android-App ist vom Entwickler mit einem Code signiert, so dass sichergestellt werden kann, dass niemand anderer als der Entwickler selbst Änderungen an einer App vornimmt oder ein gefälschtes Update ausliefern kann. Wer also Apps mit Bedacht herunterlädt und installiert, kann sich einigermaßen sicher sein dass keine Malware von anderen Entwicklern den Weg auf das Smartphone ode Tablet findet. Doch dieser Weg kann durch eine neu entdeckte Sicherheitslücke umgangen werden.
Die neue Sicherheitslücke wurde von GuardSquare entdeckt und auf die Bezeichung „Janus“ getauft: Durch diese Lücke wird es möglich, eine signierte App zu verändern ohne dass das vom Betriebssystem bemerkt wird. Normalerweise führt die kleinste Änderung dazu, dass sie Signatur der APK-Datei ungültig wird und nicht mehr vom Betriebssystem ausgeführt wird. Doch das ist nur der halbe Weg: Wurde eine APK-Datei geprüft, wird sie intern in eine ausführbare DEX-Datei umgewandelt, die über keine Signatur mehr verfügt.
Und genau bei dieser DEX-Datei setzt die Lücke an, denn diese kann nahezu beliebig verändert werden ohne dass das bemerkt wird. Auf diesemWege werden alle Sicherheiten umgangen und es können beliebige Apps modifiziert oder sogar ausgetauscht werden. Ein Angreifer könnte so vor allem eine App mit sehr vielen Berechtigungen aus dem Hause Google oder Facebook oder einem anderen vertrauenswürdigen Entwickler ersetzen und dort sein Unwesen treiben.
Entdeckt wurde die Lücke bereits vor vier Monaten, aber erst vor wenigen Stunden wurde sie veröffentlicht. Google hat die Lücke im Sicherheits-Update für Dezember gestopft, so dass alle Smartphone-Hersteller ihre Geräte absichern könnten – wobei die Betonung bekanntlich auf KÖNNTEN liegt.
Betroffen sind nur Android-Smartphones vor der Version Android Nougat, denn mit diesem Betriebssystem wurde die alte Signatur-Version ersetzt. Lediglich Apps mit einer alten Signatur sind auch unter Nougat und Oreo noch angreifbar. Alle Geräte unter diesen beiden Versionen – und das sind über 75 Prozent – bleiben auch weiterhin betroffen und können nur mit dem Update wieder zur Festung gemacht werden.
Auch in Zukunft sollte man also darauf achten, nur Apps aus dem Play Store zu installieren, denn diese sind zum Großteil Vertrauenswürdig und werden von Googles Algorithmen gecheckt. Auch wenn die Veränderung von Apps nun unbemerkt möglich ist, muss man dem Angreifer ja immer erst noch einen Weg geben auf das eigene Smartphone zu kommen – und das auch wieder in Form einer App.
Die Manipulation von externen Apps wird unter Android seit einigen Wochen sehr kontrovers diskutiert, denn Google hatte eine beliebte Möglichkeit für den Zugriff gesperrt, woraufhin einige Apps ihre grundlegenden Funktionen nicht mehr umsetzen konnten. Google hatte dann vor wenigen Tagen die Notbremse gezogen und die neuen Richtlinien erst einmal ausgesetzt.