11. August 2015 - Smartphones

Sicherheitslücke in Android – Millionen Geräte gefährdet

Erneut wurde eine kritische Sicherheitslücke im Betriebssystem Android entdeckt. Damit sind Millionen von Smartphones und Tablets gefährdet. Besonders unangenehm: „Certify-gate“ wird schwer zu beheben sein.

Android for Work Die Sicherheitslücke Certify-gate entsteht durch Fernwartungs-Apps (Bild: LDProd / iStock / Thinkstock)

Nutzt ein Angreifer die Sicherheitslücke Certify-gate aus, kann er unbemerkt in großen Stil Informationen vom Gerät auslesen und Dienste aktivieren. Dazu gehören

  • die Protokollierung der Standortinformationen,
  • die Installation von Apps oder
  • die Nutzung des Mikrofons,

um nur drei besonders schwerwiegende Lücken zu erwähnen.

Einfallstor: Fernwartungs-Apps

Seit der Version 4.3 lassen sich in Android Zertifikate einspielen. In Kombination mit einer Fernwartungs-App übernehmen die Angreifer dann heimlich die Kontrolle. Aufgedeckt haben die Lücke Entwickler des Unternehmens Checkpoint. Sie nutzen dabei den zweistufigen Aufbau von Apps für die Fernwartung. Diese bestehen aus einer Hauptapp, die vom Anwender gesteuert wird und Daten an ein Plug-in weitergibt. Dieses Plug-in benötigt aber erhöhte Rechte auf dem System, die sonst nur systemeigene Apps besitzen.

Die Plug-ins arbeiten mit allen Anwendungen zusammen, die ein gültiges Zertifikat auf dem System vorweisen können, da die Kommunikation mittels Binder erfolgt.

Sicherheitspatch notwendig, aber schwierig

Betroffen ist eine ganze Reihe von Programmen, die in Unternehmen für die Fernwartung von Android-Geräten eingesetzt werden. Darunter auch solche wie das Plug-in von RSupport, die auf diversen Geräten vorinstalliert sind (verschiedene Modelle von Samsung und LG). Dort wird nur das Plug-in ohne Benutzerschnittstelle ausgeliefert, so dass der Anwender gar nicht weiß, dass sein Android-Gerät gefährdet ist. Von einem Einbruch in sein System würde er nichts bemerken.

Einfach wird die Beseitigung der Sicherheitslücke nicht. Die ausgelieferten Zertifikate können nicht einfach als ungültig gekennzeichnet werden, da sonst eine ganze Reihe weiterer Anwendungen nicht mehr funktionieren. Und im Falle der vorinstallierten Plug-ins kann die Beseitigung der Certify-gate-Lücke nur durch ein Update der Gerätesoftware erfolgen.

Um das Risiko für die Unternehmens-IT zu verringern, können die Anwender nur erneut darauf hingewiesen werden, keine Apps aus unbekannten Quellen auf dem Android-Gerät zu installieren. Oder den Nutzern das Recht zur Software-Installation durch eine zentrale Policy zu nehmen. So lange, bis offizielle Patches zur Lösung des Problems vorhanden sind.

SLA

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln