App schützt Android-Geräte vor MasterKey-Loch

Das auf mobile Sicherheit spezialisierte Unternehmen Bluebox Security hat vor Kurzem die „MasterKey“-Sicherheitslücke entdeckt, die nach Angaben des Unternehmens rund 99 Prozent aller Android-Geräte betrifft.

Die Sicherheitslücke soll es einem Angreifer ermöglichen, den Code einer eigentlich harmlosen App so zu verändern, dass diese Schaden anrichtet — die Manipulation lässt sich aber nicht erkennen.

Es gibt zwar bereits einen Patch von Google, der die Sicherheitslücke schließt. Ob und wann die Hersteller von Smartphones und Tablet-PCs den Patch für welche Geräte veröffentlichen, ist allerdings unklar.

Abhilfe soll die App ReKey for Android schaffen, die von der US-amerikanischen Northeastern University und dem Unternehmen Duo Security entwickelt wurde. Die App installiert laut Entwickler den Patch von Google auf allen Android-Geräten.

Den Download von ReKey for Android gibt es hier.

Die App erfordert Root-Rechte auf dem Android-Gerät. Das Rooten entsperrt Ihr Android-Gerät und gibt Ihnen die volle Kontrolle über das Betriebssystem. Das ist aber nicht ganz einfach und nicht ohne Risiko.

Alles was Sie über das Thema Rooten wissen müssen, erfahren Sie im Artikel „Android-Smartphones rooten“.

Die Sicherheits-Software G Data Mobile Security 2 soll laut Hersteller vor der Sicherheitslücke schützen. Die Software kostet allerdings 19 Euro.

Unter dieser Adresse gibt es die APK-Datei einer kostenlosen 30-Tage-Testversion, mit der Sie die Software vor dem Kauf ausprobieren können.

Jede APK-Datei hat eine eigene Signatur. Diese soll sicherstellen, dass Apps nicht verändert werden, etwa mit Schadsoftware. Wenn eine App manipuliert wird, dann ändert sich auch deren Signatur.

APK steht für Application Package File und ist das Dateiformat für Android-Apps — ähnlich wie das MSI-Format für Windows-Installationsdateien.

Das von Bluebox Security als „MasterKey“ getaufte Sicherheitsleck soll es einem Angreifer ermöglichen, den APK-Code einer eigentlich harmlosen App zu verändern, ohne dass sich die Signatur ändert. Damit ließe sich auf einem Gerät Schadcode einschleusen und die Kontrolle über das Gerät übernehmen.

Wenn Sie von Ihrem Smartphone- oder Tablet-PC-Hersteller kein Update bekommen, das die Sicherheitslücke schließt, dann bleibt Ihnen derzeit nur das Rooten des Geräts oder der Kauf einer Sicherheits-Software. Vor allem bei älteren Android-Geräten werden die Hersteller wenig Lust haben, für diese noch Updates zu basteln.

Aber was man auch bedenken sollte: Die Sicherheitslücke ist in der Tat gefährlich — aber wer Apps nur von offiziellen Quellen wie Google Play oder Amazons App-Store installiert, ist ziemlich sicher.

Beachten Sie: Einige Bewertungen im Google Play Store berichten, dass die App zu endlosen Neustarts führt.

Da derzeit nicht klar ist, auf welchen Android-Geräten und -Versionen das Problem auftritt, raten wir derzeit vom Einsatz der App ab.