In Android gab es ja schon häufiger Sicherheitslücken, so dass Apps ohne Signaturprüfung installiert werden konnten. Dies ermöglichte aber auch das (unbemerkte) Einschleusen von Schadcode in Apps. In Android 4.4 (KitKat) hat Google jetzt eine solche Sicherheitslücke geschlossen – oder doch nicht?
Anzeige
Normalerweise werden Apps digital signiert – und jegliche Veränderung am Code sollte diese Signatur ungültig werden lassen. Wie heise.de hier schreibt, gibt es aber Möglichkeiten, die als ZIP-Archive vorliegenden .APK-Dateien so zu manipulieren, dass Schadcode injiziert werden kann, ohne dass das digitale Zertifikat ungültig wird. Ich hatte im Juli diesen Jahres hier über das Problem berichtet. Diese Lücke wird jetzt scheinbar in Android 4.4 durch Google behoben. Bleibt die Frage, was mit alten Android-Versionen passiert – erklärt Google doch, keine Android-Updates für seine Nexus-Geräte anzubieten, die älter als 18 Monate sind.
Anzeige
Oh mann! Die Halbwertzeit von App-Updates sowie von Blog-Beiträgen wird auch immer kürzer. Infos halten oft nur wenige Stunden. Kaum ist der Android Sourcecode von KitKat veröffentlicht, präsentiert Jay Freeman bereits einen Exploit, der die Angreifbarkeit des Master Keys in Android 4.4 demonstriert. Insides hier.
Wie war das noch mal? Wir sollen auf Apps setzen, weil ja die üblichen Anwendungsprogramme (zumindest im Windows-Umfeld) so angreifbar sind?