APK-Masterkey-Bug selbst patchen

16/07/2013 - 18:00 von Olaf Meltzer | Report spam
In einem parallelen Thread (Das Android-Dilemma) wurde u.a. eine
Sicherheitslücke angesprochen, die es erlaubt, APKs zu manipulieren,
ohne dass deren Signatur veràndert wird und der darauf beruhende
Sicherheitsmechanismus eine Manipulation erkennt. Die Lücke wurde von
Google im originalen Android bereits gepatcht, aber es ist nicht
absehbar, wann dieser Patch an bereits verkaufte Geràte durchgereicht
werden wird -- bzw. es ist sehr wohl absehbar, dass er die meisten
Geràte gar nicht erreichen wird.

Es gibt jetzt allerdings eine App, die zumindest gerootete Geràte mit
dem Patch versorgen kann: ReKey, herausgebracht von Duo Security, einem
Spin Off der Northeastern University Boston.

Siehe dazu auch Heise Permalink: http://heise.de/-1918428

Die App ist bei Google Play und auch bei Heise zu finden.

Gruß -- Olaf Meltzer

Touchlet X2 (FW des X2G), Android 2.2.1 RTM11.4, 32 GB microSD
Touchlet X5.DVB-T, Android 4.0.3 Kernel 3.0.8, 32 GB microSD
Simvalley SP-120 DC, Android 4.1.1 Kernel 3.4.0, 16 GB microSD
 

Lesen sie die antworten

#1 Arno Welzel
16/07/2013 - 20:03 | Warnen spam
Olaf Meltzer, 2013-07-16 18:00:

In einem parallelen Thread (Das Android-Dilemma) wurde u.a. eine
Sicherheitslücke angesprochen, die es erlaubt, APKs zu manipulieren,
ohne dass deren Signatur veràndert wird und der darauf beruhende
Sicherheitsmechanismus eine Manipulation erkennt. Die Lücke wurde von


[...]
Es gibt jetzt allerdings eine App, die zumindest gerootete Geràte mit
dem Patch versorgen kann: ReKey, herausgebracht von Duo Security, einem
Spin Off der Northeastern University Boston.

Siehe dazu auch Heise Permalink: http://heise.de/-1918428

Die App ist bei Google Play und auch bei Heise zu finden.



So sehr ich es begrüße, dass Menschen sich Lösungen überlegen, um solche
Sicherheitslücken zu beheben - so langsam kommt mir Android immer mehr
vor, wie Windows - es gibt Virenscanner, Personal Firealls und andere
"Sicherheitstools" (siehe auch USSD-Bug und die dafür kurzfristig
gebauten Apps, die ausgehende Telefonanrufe abfangen und ggf. sperren,
wenn es USSD-Codes sind).

Wünschenswert wàre natürlich, das sowas gar nicht erst passiert - aber
es wàre ja schon ein Fortschritt, wenn solche Vorfàlle mittelfristig zu
einem Umdenken beim Update-Prozess führen - vielleicht gibt es ja
irgendwann auch einen monatlichen "Patchday" wie bei Windows, der dann
aber auch *alle* Geràte erreicht. Aber ich fürchte, wenn sich die
Aufregung gelegt hat, wird sich exakt gar nichts àndern. Der USSD-Bug
hatte ja letzlich auch keine Konsequenzen und es dürfte noch ein
erheblicher Anteil Geràte existieren, der dafür anfàllig ist. Man
spekuliert halt darauf, dass die Hardware ohnehin nach spàtestens zwei
Jahren nicht mehr genutzt wird und "Update" bedeutet eben "neues Geràt
kaufen".

Und dann liest man noch sowas:

<http://www.heise.de/-1917386>

So sehr ich Android von der Idee her mag und auch gerne selber nutze -
bei solchen Meldungen verstehe ich gut, wieso Firmen lieber iPhones oder
Blackberry als Firmenhandys nutzen.


Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de

Ähnliche fragen