Certifi-Gate: Zertifikatsmissbrauch soll Android-Geräte gefährden
07. August 2015, 14:10 | 5 KommentareMalware kann sich Zertifikate vorinstallierter Apps zunutze machen - Google gibt Entwarnung
Während ein Leck im Multimedia-Framework Stagefright in den vergangenen Tagen die Schlagzeilen zum Thema Android dominiert hat, ist nun im Rahmen der Black Hat-Konferenz eine weitere Schwachstelle offen gelegt, die das Google-Betriebssystem betrifft.
Es soll für Malware möglich sein, sich mit Hilfe gefälschter Zertifikate zu erhöhten Rechten zu verhelfen. Möglich wäre damit auch die Übernahme der Kontrolle über ein Gerät, erklären die Sicherheitsforscher Ohad Bobrov und Avi Bashan von Check Point Security.
Konkret, so schreibt Heise, ist es etwa möglich, das Zertifikat einer bestehenden App oder vorhandenen Plugins als "Vorlage" zu verwenden, um nach Trial-and-Error-Verfahren einen Klon mit passender Seriennummer oder passendem Hash zu erzeugen, da durch Android selbst keine ausreichende Signaturprüfung vorgenommen wird. Allerdings tragen auch Lücken in den jeweiligen Programmen selbst ebenfalls zum Gefahrenpotenzial bei.
Schwer wiegt dabei, dass auf zahlreichen Geräten derlei Software und Plugins für etwaige Wartungszwecke vorinstalliert und durch den Nutzer nicht einfach so entfernbar ist.
Entwarnung kommt allerdings von Seiten Googles, schreibt Golem. Dort erklärt man, dass Apps, die über den Play Store angeboten werden, auf ihren Umgang mit Zertifikaten geprüft werden. Somit soll es auf diesem Wege nicht möglich sein, Programme zu installieren, die Zertifikatsmissbrauch ermöglichen - was bei vorinstallierten Programmen allerdings wenig nützt.
Quelle: derstandard.at
Kurze URL:
Ähnliche News:
Weitere News:
Erneut Cyberangriffe auf Webseiten österreichischer Parteien
Cyberattacke gegen französische Nachrichtenagentur AFP
Außer in Wien: Handyparken wird am 1. Oktober deaktiviert
Elektromobilität: In fünf Jahren könnten Festkörperakkus weit verbreitet sein
Leck in russischem Modul stellt Risiko für die ISS dar
US-Justizministerium klagt iranische Hacker an
DHL: Leipziger Paketbrand deutet auf russische Sabotage hin
"Unpolitisch": Böhmermann legt sich mit der Gaming-Community an
Brasilien: X hat Geldstrafen immer noch nicht beglichen
OpenAI geht von 11,6 Milliarden Dollar Umsatz in 2025 aus
Cyberattacke gegen französische Nachrichtenagentur AFP
Außer in Wien: Handyparken wird am 1. Oktober deaktiviert
Elektromobilität: In fünf Jahren könnten Festkörperakkus weit verbreitet sein
Leck in russischem Modul stellt Risiko für die ISS dar
US-Justizministerium klagt iranische Hacker an
DHL: Leipziger Paketbrand deutet auf russische Sabotage hin
"Unpolitisch": Böhmermann legt sich mit der Gaming-Community an
Brasilien: X hat Geldstrafen immer noch nicht beglichen
OpenAI geht von 11,6 Milliarden Dollar Umsatz in 2025 aus
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(5)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024