Grafik: Google

Im Rahmen des Dezember-Patch-Days hat Google vor wenigen Tagen dutzende Sicherheitslücken in seinem mobilen Betriebssystem geschlossen. Zu einer davon liefert nun deren Entdecker weitere Details, und diese haben zur Folge: Android-Nutzer sollten in nächster Zeit besonders vorsichtig bei der manuellen Installation von Paketen sein.

Grundlage

Eine Android-Lücke ermöglicht es, die Signatur von APK-Dateien zu manipulieren, warnt der Sicherheitsdienstleister Guardsquare. Damit könnten Angreifer mit Schadsoftware verseuchte Versionen populärer Apps erstellen, die dann vom System fälschlicherweise als authentische Updates akzeptiert werden. Infolge können dann all die bereits für diese App vergebenen Berechtigungen für die Zwecke der Angreifer missbraucht werden.

Die Relevanz der Lücke bezieht sich also ganz auf manuelle Updates für bestehende Apps. In solchen Fällen soll die digitale Signatur eigentlich sicherstellen, dass nur genuine Aktualisierungen durch den jeweiligen Hersteller eingespielt werden können – und zwar egal aus welcher Quelle. Vor frischen Installationen bisher nicht am Smartphone befindlicher Apps kann dies natürlich ohnehin nicht schützen – hier bleibt nur das Vertrauen auf die jeweilige Quelle – und die Virenscanner von Google, die bei jeder Installation anschlagen.

Altes Schema

Allerdings gibt es noch eine weitere Einschränkung: Das Ganze klappt nämlich nur bei Apps, die mit dem alten Signatur-Schema für APKs erstellt wurden, das eigentlich mit Android 7 abgelöst wurde. Insofern betrifft dies also nur Apps, die ältere Android-Versionen als Zielversion anvisiert haben. Trotzdem gilt es für Android-User aktuell im Umgang mit APKs aus Drittquellen besonders Vorsicht walten zu lassen. Sicher vor solchen Attacken sind lediglich jene Geräte, die einen Sicherheits-Patch-Level von 1. Dezember 2017 oder neuer haben.

Bei APKMirror, einer der beliebtesten externen Paketquellen für Android-Pakete, betont man übrigens, dass man mittlerweile einen Check eingebaut hat, der verhindert, dass solcherart manipulierte Pakete auf die Seite gelangen. Zudem habe man die Archive untersucht, und auch dort keine Spuren gefunden, dass je ein auf diese Weise manipuliertes Paket hochgeladen wurde. (apo, 11.12.2017)