Sicherheitslücke in 99 Prozent aller Geräte

Das auf mobile Sicherheit spezialisierte Unternehmen Bluebox Security hat eine Sicherheitslücke entdeckt, die nach Angaben des Unternehmens rund 99 Prozent aller Android-Geräte betrifft.

Das Sicherheitsleck soll in allen Geräten ab Android 1.6 vorhanden sein. Laut Bluebox sind das in den letzten vier Jahren rund 900 Millionen Geräte.

Die Sicherheitslücke soll es einem Angreifer ermöglichen, den APK-Code einer eigentlich harmlosen App so zu verändern, dass diese Schaden anrichtet — sich aber dabei die Signatur der App nicht verändert.

APK steht für Application Package File und ist das Dateiformat für Android-Apps. Das APK-Format ist so ähnlich wie das MSI-Format für Windows-Installationsdateien.

Jede APK-Datei hat eine eigene Signatur. Diese soll sicherstellen, dass Apps nicht verändert wurden, etwa mit Schadsoftware. Wenn eine App manipuliert wird, dann ändert sich auch deren Signatur.

Die neue Sicherheitslücke soll es ermöglichen, eine App zu verändern ohne dass sich die Signatur ändert. Damit lassen sich Schad-Apps nicht mehr so einfach erkennen.

Bluebox Security sieht die Gefahr vor allem bei Apps, die von Geräteherstellern entwickelt werden. Diese Apps haben oft vollen Zugriff auf das Android-System. Wenn eine solche App manipuliert wird, dann lassen sich damit zum Beispiel ohne Aufwand Passwörter auslesen.

Alle Details zur Sicherheitslücke hat Bluebox Security im Weblog zusammengefasst.

Die Sicherheitslücke hört sich gefährlich an — ist sie aber nicht bedingt: Gefährlich ist vor allem die Installation von Apps, die nicht von offiziellen Apps-Stores wie Google Play oder Amazons App-Store kommen.

Bluebox Security hat Google bereits auf die Sicherheitslücke hingewiesen. Ob und wann ein Sicherheits-Update kommt, und vor allem ob es auch für ältere Android-Versionen kommt, ist derzeit noch nicht bekannt.