Warnung vor Fake-ID: Schadcode bekommt gefährliche Rechte – Alle Geräte betroffen! Warnung vor Fake-ID: Schadcode bekommt gefährliche Rechte – Alle Geräte betroffen!
Das Bluebox Security Forschungsteam warnt eindringlich vor einer neue Sicherheitslücke, Google weiß Bescheid und hat umgehend reagiert. Fake ID macht die Runde und man... Warnung vor Fake-ID: Schadcode bekommt gefährliche Rechte – Alle Geräte betroffen!

Das Bluebox Security Forschungsteam warnt eindringlich vor einer neue Sicherheitslücke, Google weiß Bescheid und hat umgehend reagiert. Fake ID macht die Runde und man sollte Tatsächlich Angst vor ihr haben. Die betrifft alle Geräte die ab 2011 verkauft werden, ganz egal welche Android-Version benutzt wird.

Wiedereinmal macht eine Android-Sicherheitslücke die Runde, auch dieses Mal wurde ein “Master-Key-Bug” entdeckt und hört auf den Namen „Fake-ID“. Dieser Schadcode reagiert komplett ohne Reaktion des Nutzer und könnte so die Identität vertrauenswürdiger Apps nutzen, um unbemerkt schädlichen Code nachzuladen oder sogar die komplette Steuerung des Gerätes.

Zugriffsrechte ignoriert die App vollkommen und gibt sich als Systemapp aus und gelangt somit an die sensiblen Systemdateien. Betroffen sind alle Android Versionen ab Android 2.1 Eclair bis zu Android 4.3 Jelly Bean, Android 4.4 Kitkat ist geschützt.

android-fake-id

Google hat umgehend reagiert und hat die Sicherheitslücke zumindest eindämmen können, in dem die Google Play-Dienste nun in der Lage sind, ein solches Verhalten zu erkennen und Alarm schlagen. Auch der Play Store wurde untersucht, hier wurden keine aufälligen Apps gefunden, also kann durchgeatmet werden.

Jetzt liegt es an den Herstellern, die Lücke umgehend zuschließen in sie Firmware-Update rausballern. Wer sich unsicher ist und wegen der Geschichte schlecht einschlafen kann, dem empfehle ich einen guten Whiskey und die App Bluebox Security Scanner aus dem Google Play Store.

Die App konnte im App Store nicht gefunden werden. :-(

Quelle: ZDnet via iTespresso

  • Patrick Albrecht

    30. Juli 2014 #1 Author

    Und genau DAS ist das Problem an Android:
    Ein Universalpatch für alle Geräte wäre innerhalb von 24 Stunden geschrieben und verteilt, da aber jeder Hersteller sein eigenes Süppchen brodelt, das Update noch mit anderen Sachen kombiniert und der User keine Möglichkeit hat den Fix selber aufzuspielen werden viele Geräte monatelang ungepatcht sein oder sogar für immer. Auf einem Linux Rechner wäre ein solcher Patch innerhalb von 24 Stunden installiert.

    Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.