CISPA-Forscher warnen vor Risiken bei Download manipulierter Apps
Gratis-Tool spürt Sicherheitslücken in Android auf
Laut Google-Gründer Larry Page waren im März dieses Jahres weltweit 750 Millionen Android-Geräte in Betrieb, derzeit müssten es laut Hochrechnung zirka eine Milliarde sein. Der Großteil dieser Devices ist vermutlich durch zwei Sicherheitslücken verwundbar, die kürzlich bekannt wurden, warnen Forscher der Universität des Saarlandes. Die Saarbrücker Informatiker haben deshalb ein frei verfügbares Tool entwickelt, das Smartphones auf diese Lücken überprüft und installierte Apps auf deren Nutzung hin kontrolliert.
Die beiden Sicherheitslücken – bei Google unter den Kennziffern 8219321 und 9695860 geführt – ermöglichen ein Umgehen des Signaturverfahrens, das während der App-Installation läuft. Die Installationspakete für eine App lassen sich so jederzeit manipulieren. Da ihre Signatur unverändert bleibt, wähnt sich der Anwender in trügerischer Sicherheit, warnt man bei der Uni Saarland. Ein Angreifer könne nach Belieben bösartigen Code einschleusen und damit Daten oder Geld des Smartphone-Besitzers rauben.
Beide Lücken hat Google in der neusten Android-Version 4.3 behoben – doch hier erweist sich die unübersichtliche Vielfalt der Android-Varianten als Hindernis: „Das hilft nicht viel, da viele Hersteller die von Google vorgenommene Ausbesserung noch gar nicht in die von ihnen modifizierte Android-Betriebssysteme eingebaut haben“, warnt Michael Backes, Professor für Informationssicherheit und Kryptografie an der Universität des Saarlandes. Viele Geräte seien also nach wie vor ungeschützt.
Zusammen mit Informatikern des von ihm gegründeten Unternehmens Backes SRT hat er daher das Tool SRT Appscanner entwickelt und im App Store Google Play zum kostenlosen Download bereitgestellt. Appscanner zeige dem Anwender nicht nur an, ob der Hersteller seines Smartphones die Lücken bereits schon geschlossen hat. Es überprüfe auch bei jeder bereits installierten und zukünftigen App, ob sie Schadcode enthält, der diese Lücken ausnutzt.
„Damit beheben wir zwar nicht die Sicherheitslücken, aber machen immerhin Privatpersonen darauf aufmerksam“, so Prof. Backes. „Sie können die betroffene App dann löschen und eine nicht manipulierte Version neu installieren.“
Prof. Backes ist leitender Forscher am Exzellenz-Cluster „Multimodal Computing and Interaction“ in Saarbrücken und beaufsichtigt als wissenschaftlicher Direktor das Center for IT-Security, Privacy and Accountability (CISPA). Es ist eines der drei deutschen Forschungszentren für Cybersicherheit, die seit 2011 vom Bundesministerium für Bildung und Forschung gefördert werden.
Der Appscanner ist im Google Play Store zu finden unter
play.google.com/store/apps/details?id=de.backessrt.appintegrity
Weitere Informationen zum CISPA finden sich unter www.cispa-security.de.
Lesen Sie mehr zum Thema
