Fake-ID: Neue Sicherheitslücke in Android entdeckt

Erst vor kurzem wurde vom Sicherheitsunternehmen Bluebox Labs eine Android-Sicherheitslücke namens „Master-Key-Bug“ entdeckt, jetzt haben sie die nächste Schwachstelle namens „Fake-ID“ gefunden.

Die Sicherheitslücke, die ihren Namen durch dessen Funktion bekam, tritt beim Signieren von Software auf und ermöglicht das Einschleusen von Schadcode. Hierdurch ist es dem Schadcode möglich, Zugriffsrechte, die sonst nur Systemdiensten zustehen, zu erlangen und so das komplette Gerät zu übernehmen.

Im hauseigenen Blog gab Bluebox Labs das Ausmaß dieser Schwachstelle bekannt, denn im Gegensatz zu der Master-Key-Lücke muss der Nutzer eines Android-Gerätes beim Fake-ID-Bug keine einzige Bestätigung machen. Der Schadcode agiert also komplett ohne jegliche Eingabe des Benutzers. Ob das eigene Android-Gerät von der Lücke betroffen ist, kann mit dem Bluebox Security Scanner überprüft werden.

[appbox googleplay com.bluebox.labs.onerootscanner]

Betroffen sind laut Bluebox alle Android-Versionen zwischen 2.1 und 4.3. Mit Version 4.4 hat Google einen Bugfix für die Lücke geliefert. Zusätzlich wurde der Google Play Store bereits überprüft und es soll sich keine schadhafte Software dort befinden, wie Google bekannt gab.

Des Weiteren teilte der Konzern aus Mountain View mit, dass ein entsprechender Patch an die Android Partner bereits verteilt wurde. Wann dieser jedoch in einem Software-Update erhältlich sein wird, bleibt abzuwarten. Die Vergangenheit hat oft gezeigt, dass sich die Hersteller hier sehr viel Zeit lassen. Wie seht ihr die ganze Sache?