Android-Schädlinge entdecken Master-Key-Lücke

Martin Schindler,

Die so genannte Master-Key-Lücke wird nun zum ersten Mal aktiv von Betrügern ausgenutzt. Über diese Lücke können Anwendungen um bösartige Komponenten erweitert werden, ohne dass sich die Verschlüsselung ändert.

Eine der Anwendungen, die über die Master-Key-Lücke verändert wurde. Quelle: Symantec
Eine der Anwendungen, die über die Master-Key-Lücke verändert wurde. Quelle: Symantec

Bislang war für die Master-Key-Lücke nur ein Proof of Concept bekannt. Jetzt warnt der Sicherheitsdienstleister Symantec in einem Blog dass das Sicherheitsleck aktiv ausgenutzt wird. Über das Leck können vertrauenswürdige Apps mit Schadcode erweitert werden, ohne dass sich die kryptografische Signatur ändert. Das Leck ist sei Anfang Juni bekannt, entdeckt wurde es von dem Sicherheitsanbieter Bluebox.

Die beiden Schadprogramme hat Symantec in alternativen chinesischen App Stores entdeckt. Dort lasse sich solche Malware besonders leicht verteilen, da Google keinen Google Play Store für China eingerichtet hat. Die “Skullkey”-Apps dienen Symantec zufolge eigentlich dazu, Termine mit Ärzten zu vereinbaren. “Ein Angreifer hat diese beiden Anwendungen genommen und um Code erweitert, der ihm ermöglicht, Geräte aus der Ferne zu steuern, vertrauliche Daten wie IMEI und Telefonnummern zu stehlen, SMS-Nachrichten zu verschicken und diverse chinesische Sicherheitslösungen zu deinstallieren, falls das Gerät gerootet ist.”

Wie genau sich die Lücke nutzen lässt, um Anwendungen zu manipulieren, ohne dass sich die Signatur ändert, wird Bluebox in Kürze auf der Konferenz Blackhat erklären. Bereits jetzt ist aber bekannt, dass es sich um Manipulationen innerhalb der Ordner eines Android-Pakets im APK-Format handelt. Sophos zufolge validiert Android im Fall doppelt vorhandener Dateien immer die jeweils jüngste, installiert aber die andere.

Google hat die Lücke nach eigenen Angaben geschlossen und einen Patch an die Partner verteilt. Wer nicht warten will, bis der Hersteller seines Smartphones die jeweilige Firmware patcht, kann auf CyanogenMod ausweichen, das die Lücke schon geschlossen hat. Auch ein Programm von Duo Security und der US-Universität Northeastern behebt den Fehler angeblich.

Wer ohnehin nur Apps aus Google Play installiert, dürfte durch den Fehler nicht gefährdet sein, auch wenn Trend Micro in einem Blog auf bisher sieben im offiziellen Android-Software-Shop gefundene bösartige Anwendungen verweist. Diese hat Google inzwischen alle aus dem Shop entfernt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.