Seit kurzem geistert durchs Netz der Begriff „Fake-ID“ – eine Sicherheitslücke die laut einigen Seiten sogar noch Android L betriffen soll und durch die Milliarden Android-Geräte gefährdet seien.
Jetzt beruhigen wir uns erstmal.
Ja, es gibt bei der Installation von Apps eine Prüfung der Zertifikate zur Authentifizierung, die offensichtlich seit Android 2.1 nicht ausreichend geprüft wurde.
Durch diese unzureichende Prüfung war es möglich, dass Apps sich als etwas anderes ausgeben konnten – nämlich eben als andere App. Über eine gefakete ID.
Google hat sich seit Bekanntwerden dieser Lücke bereits um die Aktualisierung der Google Play Services gekümmert und laut eigener Aussage alle Apps des Play Stores gescannt und festgestellt, dass keine der eingereichten Apps diesen Exploit ausnutzten.
Wie bei den meisten Sicherheitslücken bleiben also zwei Sorten von Menschen betroffen:
- diejenigen, die sich konsequent weigern Updates auszuführen, in der Befürchtung, dass einen die NSA dann abhören kann (Grüße an alle Aluhut-Träger)
- diejenigen, die sich ihre Apps nicht aus dem PlayStore, sondern aus Dritt-Quellen besorgen, weil man dann häufig die 0,72€ für die Pro-Version der App sparen kann
Schlimm ist dann nur, dass Android durch solche Ausnahmen wieder als unsicheres Betriebssystem dargestellt wird.
Quelle: Androidcentral