Es ist eine ziemlich unerfreuliche Nachricht, die Łukasz Siewierski vor wenigen Tagen ganz nebenbei auf Twitter kundtat. Wie der Google-Sicherheitsforscher entdeckt hat, sind Unbekannte an die zentralen Signaturschlüssel einiger großer Android-Hersteller gekommen. Damit konnten sie dann Malware erstellen, die sich erfolgreich als legitime Software der betreffenden Firmen tarnen konnte.

Weitreichender Zugriff

Was das Ganze besonders unerfreulich macht. Es geht dabei um jene Schlüssel, die für die sogenannten "Plattformzertifikate" verwendet werden, die wiederum zur Absicherung der zentralen "Android" genannten System-App zum Einsatz kommen. Diese läuft im Vergleich zu regulären Apps mit deutlich höheren Berechtigungen.

Ein Angreifer, der es schafft, einem Nutzer solch eine gefälschte App unterzujubeln, erhält also einen recht weitreichenden Zugriff auf das zugehörige Smartphone und die darauf gespeicherten Daten. Wie Android-Experte Mishaal Rahman in einem Twitter-Thread ausführt, entspricht das zwar nicht ganz einem Root-Zugriff, aber ist auch nicht mehr weit davon entfernt.

Betroffene Firmen

Die betroffenen Schlüssel werden im zugehörigen Fehlereintrag aufgezählt, welche Hersteller betroffen sind, verrät man dabei zunächst nicht. Allerdings lässt sich über einen Abgleich mit bekannten Android-Apps herausfinden, dass sowohl Samsung als auch LG und Mediatek zu den Betroffenen gehören. Dazu kommen noch diverse kleinere Hersteller wie Revoview oder Szroco. Die Geräte anderer Firmen – also etwa Google selbst oder auch Oneplus, Xiaomi oder Oppo – sind hingegen nicht betroffen.

Unklar bleibt dabei allerdings, wie schlimm die Auswirkungen dieses Vorfalls in der Praxis wirklich sind. So betont das Android-Sicherheits-Team, dass die Dritthersteller bereits kurz nach der Meldung des Vorfalls mitigierende Maßnahmen unternommen hätten. Was damit genau gemeint ist, führt man nicht aus. Zudem habe man – also Google – selbst die Suche nach Malware in jener "Build Test Suite", die sämtliche System-Images von Drittherstellern überprüft, entsprechend verschärft. Und auch Google Play Protect, das auf allen Android-Geräten mit Play Store installiert ist, erkennt die betreffende Schadsoftware demnach.

Kein Wechsel bei Samsung

Aus Sicht der Hersteller wäre die logische Antwort auf neue Schlüssel zu wechseln, die aktuelle Version des bei Android verwendeten Signaturschemas hat dafür auch einen entsprechenden Mechanismus. Genau das scheint aber bei Firmen wie Samsung noch nicht passiert zu sein. Warum bleibt vorerst ebenfalls unklar.

Für weitere Verwirrung sorgt ein Blick auf den Zeitablauf. Während Google selbst davon spricht, dass das Problem im Mai 2022 entdeckt wurde, finden sich auf Malware-Seiten wie Virustotal Beispiele von mit dem offiziellen Samsung-Key signierter Schadsoftware, die mehrere Jahre alt sind. Auch Samsung selbst spricht nun gegenüber XDA Developers davon, dass die eigenen Keys schon vor Jahren geleakt wurden. Das verstärkt natürlich noch mal die Verwunderung darüber, dass sie bis heute nicht verändert wurden.

Bisher nichts passiert

Ein Grund dafür könnte sein, dass man die Problematik offenbar tatsächlich gut über andere Maßnahmen abfangen kann. Jedenfalls betont Google, dass es bisher keinen einzigen Fall gab, wo es eine mit einem dieser Keys signierte Schadsoftware in den Play Store geschafft hat. Ähnlich tönt es von Seiten Samsungs, es gebe keinerlei bekannte Sicherheitsvorfälle durch diese "potentielle Lücke". (Andreas Proschofsky, 4.12.2022)