Certifi-Gate: Zertifikatsmissbrauch soll Android-Geräte gefährden
Malware kann sich Zertifikate vorinstallierter Apps zunutze machen - Google gibt Entwarnung
Während ein Leck im Multimedia-Framework Stagefright in den vergangenen Tagen die Schlagzeilen zum Thema Android dominiert hat, ist nun im Rahmen der Black Hat-Konferenz eine weitere Schwachstelle offen gelegt, die das Google-Betriebssystem betrifft.
Es soll für Malware möglich sein, sich mit Hilfe gefälschter Zertifikate zu erhöhten Rechten zu verhelfen. Möglich wäre damit auch die Übernahme der Kontrolle über ein Gerät, erklären die Sicherheitsforscher Ohad Bobrov und Avi Bashan von Check Point Security.
Konkret, so schreibt Heise, ist es etwa möglich, das Zertifikat einer bestehenden App oder vorhandenen Plugins als "Vorlage" zu verwenden, um nach Trial-and-Error-Verfahren einen Klon mit passender Seriennummer oder passendem Hash zu erzeugen, da durch Android selbst keine ausreichende Signaturprüfung vorgenommen wird. Allerdings tragen auch Lücken in den jeweiligen Programmen selbst ebenfalls zum Gefahrenpotenzial bei.
Schwer wiegt dabei, dass auf zahlreichen Geräten derlei Software und Plugins für etwaige Wartungszwecke vorinstalliert und durch den Nutzer nicht einfach so entfernbar ist.
Entwarnung kommt allerdings von Seiten Googles, schreibt Golem. Dort erklärt man, dass Apps, die über den Play Store angeboten werden, auf ihren Umgang mit Zertifikaten geprüft werden. Somit soll es auf diesem Wege nicht möglich sein, Programme zu installieren, die Zertifikatsmissbrauch ermöglichen - was bei vorinstallierten Programmen allerdings wenig nützt.
Quelle: derstandard.at
Kurze URL:
Ähnliche News:
Weitere News:
Starlink hat unter dem Sonnensturm gelitten
Hacker wollten 200 Millionen US-Dollar Lösegeld von Boeing
Linux-Kernel 6.9 ist veröffentlicht
Provisionen im App Store: Richterin kritisiert Apples Taktik
EU treibt Klage gegen Microsoft wegen Teams voran
Booking.com gilt als Gatekeeper-Plattform
Google Australien löscht versehentlich Clouddaten eines Pensionsfonds
Kungpeng Pro: Orangepi bringt Bastelrechner mit mysteriöser Huawei-CPU
OpenAI stellt doch keine Suchmaschine vor, könnte Sprachassistent bringen
Hacker legen Europol-Seite lahm und stehlen Daten
Hacker wollten 200 Millionen US-Dollar Lösegeld von Boeing
Linux-Kernel 6.9 ist veröffentlicht
Provisionen im App Store: Richterin kritisiert Apples Taktik
EU treibt Klage gegen Microsoft wegen Teams voran
Booking.com gilt als Gatekeeper-Plattform
Google Australien löscht versehentlich Clouddaten eines Pensionsfonds
Kungpeng Pro: Orangepi bringt Bastelrechner mit mysteriöser Huawei-CPU
OpenAI stellt doch keine Suchmaschine vor, könnte Sprachassistent bringen
Hacker legen Europol-Seite lahm und stehlen Daten
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(5)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024