In Googles Betriebssystem Android ist eine neue Schwachstelle im Verifizierungsprozess von App-Signaturen entdeckt worden. Das berichtet der vor allem als Jailbreak-Experte und als Betreiber des Alternativ-Stores Cydia bekannte Entwickler Jay Freeman (Saurik), der seine Cydia Substrate genannte App für den Zugriff auf Alternativ-Software auch im Google Play Store für Android anbietet, in einem Beitrag auf seiner Website. Nach den Patches für zwei zuvor bekannt gewordene Master-Key-Bugs (#8219321 und #9695860) von Google hat Freeman in dem vor wenigen Tagen von Google für das Android Open Source Project (AOSP) bereitgestellten Quellcode für Android 4.4 noch einen Patch für einen neuen, ähnlichen Fehler (#9950697) ausgemacht.
Im Juli dieses Jahres berichtete das Software-Sicherheitsunternehmen Bluebox Labs erstmals über eine Master-Key-Schwachstelle im Android-Betriebssystem, die zum damaligen Zeipunkt potenziell 99 Prozent aller Smartphones und Tablets mit dem Google-OS betreffen sollte. Der seit Android 1.6 Donut bestehende Systemfehler erlaubt Angreifern das Kapern von fremden Smartphones und Tablets mit Hilfe von gefälschten APK-Dateien. APK-Dateien sind Dateicontainer, die eine App beinhalten. Bei der Installation einer solchen manipulierten App aus einem alternativen App-Store achtet Android lediglich auf eine gültige Signatur der App, etwaigen hinzugefügten Schadcode erkennt es nicht. Bei App-Downloads aus dem Google Play Store besteht das Risiko offensichtlich nicht, die Malware-Analyse von Google scheint gut zu funktionieren. Angriffe über die Master-Key-Sicherheitslücke sind zudem bislang nur vom asiatischen Markt bekannt.
Google hatte schon im vergangenen Juli einen Patch bereitgestellt, der den Code-Signatur-Fehler in Android beheben sollte. Doch inwieweit die Android-Hersteller ein entsprechendes Update an ihre Geräte ausgeliefert haben, ist nicht bekannt. Dieses Problem wird laut Freeman auch bei dem neu entdeckten Master-Key-Bug bestehen. Nutzer von Googles Nexus-Geräten können davon ausgehen, den Patch zügig ausgeliefert zu bekommen. Besitzer von Geräten mit einer vom Hersteller angepassten Benutzeroberfläche oder mit einem Netzbetreiber-Branding müssen unter Umständen mit längeren Wartezeiten rechnen oder bekommen das Update für ihr Gerät gar nicht.
Bluebox bietet im Google Play Store und im Amazon AppStore eine kostenlose App an, mit der Nutzer ihre Android-Geräte auf die Bugs hin überprüfen können. Die App "Bluebox Masterkey Security Scanner" untersucht das Gerät auf den Signatur-Fehler sowie möglicherweise schon installierte Schadprogramme und meldet, ob man Software von alternativen Downloadquellen beziehen kann. Ein Alternativ-Programm ist der "SRT AppScanner" der Backes SRT GmbH. Freeman hat in einer neuen Version seiner Cydia-Impactor-App für Android den neuen Bug gepatcht. Android-Nutzern wird empfohlen, Apps und App-Updates nur aus seriösen Quellen herunterzuladen.