Erste Angriffe auf Androids Masterkey-Lücke

Symantec hat erste Apps gesichtet, die Androids Schwächen bei der Signaturprüfung zur Verbreitung von Trojanern ausnutzen. Noch ist die Gefahr allerdings weit weg.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 41 Beiträge
Von
  • Ronald Eikenberg

Die Antivirenexperten von Symantec haben in Fernost erste Apps entdeckt, welche die sogenannten Masterkey-Schwachstellen in Android ausnutzen. Durch die Lücken kann ein Angreifer Apps manipulieren, ohne deren digitale Signatur zu beschädigen. In den von Symantec untersuchten Fällen handelt es sich um legitime Apps, denen nachträglich ein Trojaner namens Skullkey injiziert wurde. Die Cyber-Kriminellen haben dem Installationspaket (.apk) zwei Dateien hinzugefügt: Eine weitere classes.dex mit Programmcode und eine weitere AndroidManifest.xml, welche die anzufordernden Rechte festlegt.

Der Schädling kann teure Premium-SMS verschicken. Gelangt er an Root-Rechte, soll er auch einige chinesische Virenschutz-Apps abschießen können. Der Wolf im Schafpelz wird an Google Play vorbei über alternative chinesischen App-Kataloge verteilt. Symantec hat bisher Apps aus den Kategorien Medizin, Spiele und Glücksspiel entdeckt. Die Antivirenfirma Bitdefender will auch bei Google Play einige Apps gesichtet haben, die den Android-Bug bei der Signaturprüfung ausnutzen. Allerdings enthalten die Apps keinen eingeschleusten Programmcode, sondern lediglich Dubletten von Bilddateien. Bitdefender spekuliert, dass es sich wahrscheinlich um ein Versehen handelt.

Dass es Apps, die mit bösen Absichten manipuliert wurde, in Googles offiziellen Download-Katalog schaffen, ist eher unwahrscheinlich. Google unterzieht von Entwicklern hochgeladene APK-Dateien vor der Veröffentlichung einer automatischen Malware-Analyse mit seinem Bouncer genannten System, das die App-Manipulationen inzwischen zuverlässig erkennen sollte. Am effektivsten schützt man sich daher, indem man sich an die App-Vielfalt von Google Play hält und sicherstellt, dass in den Einstellungen die Installation von Apps aus nicht vertrauenswürdigen Quellen abgeschaltet ist.

Wer sich für die technischen Hintergründe der Sicherheitslücken interessiert, sollte einen Blick auf die ausführliche Analyse von Jay Freeman AKA saurik werfen. iOS-Nutzern dürfte sein Name durch den von ihm entwickelten Cydia-Store ein Begriff sein.

Siehe hierzu auch:

(rei)