OpenSSL X.509

Schwachstelle im Zertifikatssystem von Android

| Redakteur: Stephan Augsten

Eine Schwachstelle im Android-Zertifikatssystem erlaubt es, komplette Apps auszutauschen, wie das unten eingehängte Video von IBM belegt.
Eine Schwachstelle im Android-Zertifikatssystem erlaubt es, komplette Apps auszutauschen, wie das unten eingehängte Video von IBM belegt. (Bild: IBM Security)

Durch eine Sicherheitslücke im Zertifikatssystem von Android können bösartige, scheinbar harmlose Apps tiefgreifende Berechtigungen sichern. 55 Prozent aller Android-Geräte sind angreifbar, schätzen die Sicherheitsforscher der IBM X-Force.

In der der OpenSSL-X.509-Zertfikatklasse von Android wurde eine Schwachstelle gefunden. Entsprechende Zertifikate werden von App-Entwicklern verwendet, um Apps beispielsweise den Zugriff auf Netzwerke oder die Kamerafunktionen im Smartphone zu gewähren.

Falls Hacker diesen Kommunikationskanal zwischen einer Applikation und der Hardware erfolgreich angreifen, können sie je nach App etwa Fotos abgreifen oder Nachrichten versenden oder das ganze Gerät steuern. Ein Cyber-Krimineller müsste sein „Trojanisches Pferd“ nur als Spiel oder beispielsweise als Taschenlampen-App tarnen.

Während der Installation nutzt die harmlos erscheinende App die Schwachstelle und wird zu einer Super-App, die das Gerät, seine Funktionen und Informationen kontrollieren kann. Darüber hinaus können sie reale Apps durch eigene Fälschungen ersetzen, die dann Informationen über den Nutzer sammeln. So könnten sogar die Zugangsdaten fürs Online Banking in die Hände von Cyber-Kriminellen geraten.

Laut IBM sind über 55 Prozent aller Android-Handys betroffen, als angreifbar gelten die Android-Versionen 4.3 bis 5.1 (Jellybean, Kitkat und Lollipop) sowie Android M. Detaillierte Informationen zur Super-App-Lücke haben die IBM Sicherheitsforscher im Security Intelligence Blog veröffentlicht. Außerdem hat Google bereits Patches für die Android-Versionen 4.4, 5.0 und 5.1 sowie für Android M bereitgestellt.

In einem Video zeigen die Sicherheitsforscher der IBM X-Force, wie sie mittels der Lücke die Facebook-App auf einem Android-Gerät ersetzen konnten:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43549586 / Mobile Security)