Es scheint als wenn ein weiteres kleines Android-Desaster da ist. Die Firma Bluebox hat einen Fehler, genannt “Fake ID”, in Android entdeckt. Mit dieser Fake ID ist es schädlichen Apps möglich, gefälschte Anmeldedaten an Android weiterzugeben. Dadurch kann die Signatur der Anwendung wohl nicht mehr korrekt geprüft werden. Somit kann sich die App als eine beliebige andere App ausgeben und deren Berechtigungen missbrauchen.
Bluebox soll Google schon vor drei Monaten über den Bug informiert haben.
Google bestätigte gegenüber BBC, dass es bereits einen Fix für den Fehler mit der Nummer 13678484 entwickelt wurde. Android ist bis einschließlich Version 4.3.x besonders anfällig für den Fehler in Flash-Webansichten, der eine unautorisierte Erweiterung von Nutzerrechten erlaubt.
Fake ID betrifft alle Android-Versionen ab 2.1 bis 4.4 Google prüft aktuell im PlayStore angebotenen Apps auf die Fake ID. Heise.de berichtet u.a. auch das der Developer Preview von Android L 5.0 ebenfalls betroffen sein könnte.
In einer Stellungnahme äußert sich Google zu der Lücke und teilt mit, dass ein entsprechender Patch sowohl an die Android-Partner, als auch an das AOSP ausgeliefert wurde:
“We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.”
[size=18]Apps lassen sich mit dem Bluebox Scanner überprüfen.
[/SIZE]
Zitat von BlueBox:
Effectively addressing a vulnerability requires a three step process:
1) Google produces a generic code fix, which it provides to the Android phone manufacturers
2) Then phone manufacturers must then incorporate that fix into a firmware update suitable to specific phones, which they provide to carriers
3) The carrier then distributes the final update, which ensures your phone is safe from the vulnerabilityAs regards Fake ID, Google has provided the generic code fix to the phone manufacturers. Currently the manufacturers and carriers are working to get that fix out to you. The Bluebox Security Scanner will help you track when that finally happens. Alternatively, you can contact customer support for your phone manufacturer or carrier for the more current and up-to-date status for your specific Android phone.
Install the Bluebox Security Scanner to see if you’ve been exposed to this vulnerability.
Gruß
euer Soulfly999