ReKey: Master Key-Exploit / APK-Lücke auf Root-Phones patchen

Seit einigen Wochen gibt es die Berichte rund um das Android OS und insgesamt zwei Master Key-Exploits welche für eine Lücke in der Verifikation von den Android-Apps sorgt, welche man auf dem jeweiligen Smartphone oder Tablet installiert.

Eigentlich werden diese Apps, welche man auf dem Tablet oder Smartphone unter Android installiert, durch das System auf eine bestimmte Signatur hin überprüft und dann verifiziert, so dass man eigentlich keine schädlichen APKs / Apps installieren kann. Doch dieses System der Verifizierung der Signaturen konnte anhand der beiden Master Key-Exploits umgangen werden und somit konnten durch Dritte veränderte APKs / Apps mit schädlichem Code auf dem Android OS installiert werden und die Signaturprüfung des Systems hat die Installation nicht verweigert, weil die Signatur die gleiche geblieben ist – trotz der Veränderungen am Code durch einen böswilligen Menschen.

Während beide Sicherheitslücken von Android seit der Android-Version 1.6 bestehen und erst im Februar dieses Jahres entdeckt wurden, gibt es von Google bereits Patches zum Schließen dieser Sicherheitslücken während der Verifizierung bei der Installation der Android-Apps oder APKs. Zudem wurde mitgeteilt, dass man sich aus dem inzwischen neu designten Play Store von Google keine solche schädliche App installieren konnte – immerhin etwas.

Google hat die Patches für beide „Master Key“-Exploits bereits an die OEMs wie Samsung, HTC, Sony und LG verteilt, wobei zum Beispiel das aktuelle Galaxy S4 von Samsung nicht von diesen Exploits für das Android OS betroffen ist, sofern man die aktuelle Stock-ROM für das Galaxy S4 von Samsung einsetzt. Weiterhin hat das Team hinter dem beliebten CyanogenMod ROM schnell reagiert und auch die dort verfügbaren, aktuellen Nightly Builds von CM10.1.x könnten durch diese „Master Key“-Exploits nicht mehr beeinträchtigt werden.

Im Play Store von Google gibt es nun aus dem gemeinsamen Händen der Sicherheitsfirma Duo Security in Zusammenarbeit mit dem Systems Security Lab an der amerikanischen Northeastern University eine neue App namens „ReKey“ im Play Store von Google. Diese App „ReKey“ kümmert sich sozusagen um die Schließung der Android-Sicherheitslücke, wobei die Anwendung von der Systems Security Lab an der Northeastern University (USA) und Duo Security dies natürlich nur auf Android-Systemen kann, auf denen der User bereits mit Root-Rechten unterwegs ist.

masterkey android rekey app rooted ReKey: Master Key Exploit / APK Lücke auf Root Phones patchen

ReKey – Master Key-Fix für Android Geräte

Somit ist das kostenlose erhältliche „ReKey“ aus dem Play Store eine typische Root-App, welche tatsächlich etwas mehr Schutz für alle User bringt, deren Geräte von beiden Exploits (Sicherheitslücken) betroffen sind und wie die Sachlage aussieht, sind dies weiterhin verdammt viele Android-User.

Der Security-Fix, welchen die Android-App ReKey durchführt, ist kein kompletter Schutz und der Vorgang selbst ist auch nicht wirklich komplex zu nennen, wie man es bei den Jungs von AndroidPolice beschreibt. Auf jeden Fall fühlt man sich als User gewiss etwas sicherer, wenn diese beiden Master Key-Lücken des Verifizierungsvorganges unter Android geschlossen sind und da sich OEMs wie Samsung, HTC oder LG gern mal etwas Zeit lassen mit Updates (je nach dem), wobei auch die Nexus-Reihe wohl noch kein Update erhalten hat, sind noch viele Geräte von diesem Sicherheitsrisiko betroffen – auch wenn mir kein Fall bekannt ist, bei dem es tatsächlich und bestätigt zur Ausnutzung dieser Master Key-Exploits durch eine modifizierte APK-Datei oder eben Android-App kam.

Die Root-App „ReKey“ ist kostenlos im Play Store zu haben und sofern man als Root auf seinem Android Smartphone oder Tablet unterwegs ist und sich etwas „sicherer“ bei der Installation von primär manuell heruntergeladenen APK-Dateien fühlen möchte, kann sich diese App von Duo Security und dem Systems Security Lab an der Northeastern University (USA) ja mal ansehen.

[appbox googleplay io.rekey.rekey]
Quelle: androidpolice
Nach oben scrollen