Android: Die Schwachstelle Fake ID kann App-Berechtigung übernehmen

Durch eine einfache Signatur, welche nicht von Android geprüft werden kann, können sich Schadprogramme als eine beliebige App ausgeben und so weitrechende Rechte einfordern.

Besonders gefährlich ist der Fehler, da Google mehrere Apps als besonders vertrauenswürdig einstuft und diesen umfangreiche Rechte zugesteht. Die eigentlich schädliche App muss deshalb überhaupt gar keine eigenen App-Berechtigungen erfragen, sondern kann sich an den Rechten von diesen vertrauenswürdigen Apps bedienen.

Über diese Sicherheitslücke lassen sich sogar in der Cloud gespeicherte Daten und Informationen auslesen, wenn diese mit einem Dienst verknüpft sind.

Die Schwachstelle Fake ID kann auf allen aktuellen Android-Geräten mit Version 2.1 oder neuer ausgenutzt werden. Da nicht alle Hersteller die eigenen Smartphones zeitnah mit einem Update versorgen werden, prüft Google die über Google Play zur Verfügung gestellten Apps zusätzlich. Ein wirksamer Schutz vor der Schwachstelle wird allerdings wohl erst mit einem Betriebssystem-Update eingeführt.

Bluebox hat angegeben den Fehler bereits vor drei Monaten an Google weitergeleitet zu haben. Ein entsprechender Fix wurde von Google auch schon entwickelt, dieser wurde aber selbst in Android 4.4 noch nicht implementiert.

(Bild: Android Fake ID)