Video: nachgehakt: Android ohne Google benutzen (Kann 2024)
Eine Sicherheitsanfälligkeit im Android-Betriebssystem ermöglicht es Angreifern, eine vorhandene App zu übernehmen, bösartigen Code einzuschleusen und sie so neu zu packen, dass sie sich als Original-App ausgibt. Solltest du dir Sorgen machen?
Laut Jeff Forristal, CTO von Bluebox, haben Forscher von Bluebox Security den Fehler bei der Überprüfung der kryptografischen Signaturen für Apps festgestellt. Dies bedeutet, dass Angreifer die App modifizieren können, ohne die kryptografische Signatur zu ändern, so Forristal.
Der Fehler ist seit Android 1.6 ("Donut") aufgetreten und hat laut Forristal "99 Prozent" der Geräte oder "jedes in den letzten vier Jahren veröffentlichte Android-Handy" anfällig für Angriffe gemacht.
Das beängstigende Szenario sieht ungefähr so aus: Eine legitime App (z. B. eine Google-App) wird geändert, um Kennwörter zu stehlen oder das Gerät mit einem Botnetz zu verbinden, und für Benutzer zum Herunterladen freigegeben. Da beide Apps dieselbe digitale Signatur haben, wird es für Benutzer schwierig sein zu wissen, welche real und welche gefälscht sind.
Nicht wirklich.
Bin ich in Gefahr?
Google hat Google Play so aktualisiert, dass es Überprüfungen gibt, um böswillige Apps zu blockieren, die diesen Exploit verwenden, um sich als eine andere App auszugeben.
Wenn Sie Apps und Updates von Google Play installieren, sind Sie von diesem Exploit nicht betroffen, da Google Schritte unternommen hat, um den App-Markt abzusichern. Wenn Sie Apps von Drittanbieter-Marktplätzen herunterladen, auch von halboffiziellen Anbietern wie Samsung und Amazon App Stores, sind Sie in Gefahr. Vorläufig kann es sich lohnen, die Nutzung dieser Marktplätze zu unterbrechen.
Google empfiehlt Nutzern, sich von Android-App-Märkten von Drittanbietern fernzuhalten.
Was kann ich sonst noch tun?
Denken Sie auch daran, dass Sie immer darauf achten sollten, wer der Entwickler ist. Selbst wenn es eine trojanisierte App über Google Play schafft oder Sie sich in einem anderen App Store befinden, wird die App nicht unter dem ursprünglichen Entwickler aufgeführt. Wenn Angreifer beispielsweise Angry Birds mit dieser Sicherheitsanfälligkeit neu packen, wird die neue Version nicht unter Rovios Konto aufgeführt.
Wenn Sie sicherstellen möchten, dass Sie keine Apps von Drittanbieterquellen installieren können, gehen Sie zu Einstellungen> Sicherheit und stellen Sie sicher, dass das Kontrollkästchen zum Installieren von Apps von "unbekannten Quellen" nicht aktiviert ist.
Wenn Sie über die neueste Version von Android verfügen, sind Sie auch durch das integrierte App-Scan-System geschützt, da Apps gescannt werden, die aus anderen Quellen als Google Play stammen. Das bedeutet, dass Ihr Telefon den Schadcode auch dann blockieren kann, wenn Sie versehentlich eine fehlerhafte App installieren.
Es gibt auch Sicherheits-Apps für Android, die böswilliges Verhalten erkennen und Sie auf die betreffende App aufmerksam machen können. PCMag empfiehlt Bitdefender Mobile Security von unserer Redaktion.
Ist ein Angriff wahrscheinlich?
"Nur weil der 'Hauptschlüssel' noch nicht ausgenutzt wurde, heißt das nicht, dass wir uns auf unseren Lorbeeren ausruhen können", sagte Grayson Milbourne, Security Intelligence Director bei Webroot, gegenüber SecurityWatch . Bei der mobilen Sicherheit sollte es darum gehen, das Gerät von allen Seiten zu schützen - Identitätsschutz zum Schutz von Passwörtern und anderen persönlichen Informationen, Blockieren von Malware und bösartigen Apps sowie Auffinden des Geräts bei Verlust oder Diebstahl, so Milbourne.
Bluebox meldete den Fehler bereits im Februar an Google und Google hat bereits einen Patch für seine Hardware-Partner in der Open Handset Alliance veröffentlicht. Einige Mobiltelefonhersteller haben bereits Patches veröffentlicht, um das Problem zu beheben. Die Netzbetreiber müssen das Update nun an ihre Endbenutzer weiterleiten.
"Es liegt an den Geräteherstellern, Firmware-Updates für mobile Geräte zu erstellen und freizugeben (und darüber hinaus den Benutzern, diese Updates zu installieren)", sagte Forristal. Bluebox plant, weitere Details während der Black Hat-Konferenz in Las Vegas Ende dieses Monats bekannt zu geben.
Pau Oliva Fora, ein Ingenieur der Firma viaForensics für mobile Sicherheit, veröffentlichte am 8. Juli einen Proof-of-Concept-Bericht, in dem die Sicherheitsanfälligkeit ausgenutzt wurde. Fora erstellte das Shell-Skript, nachdem er die Details des vom Cyanogenmod-Team gemeldeten Fehlers gelesen hatte. Cyanogenmod ist eine beliebte Version von Android, die Benutzer auf ihren Geräten installieren können. Das Team hat den Fehler bereits behoben.
Wenn Sie zu den wenigen glücklichen Nutzern gehören, die ein Android-Update von Ihrem Mobilfunkanbieter erhalten, sollten Sie es sofort herunterladen und installieren. Auch wenn die Risiken gering sind, ist die Aktualisierung des Betriebssystems einfach ein gutes Sicherheitsgefühl.
