Mindestens zwei Apps im Google Play App-Store nutzen ebenfalls die bedenkliche „Master-Key“-Schwachstelle, die fast allen Androidgeräten innewohnt, aus. Es geht um die Schwachstelle, die im Februar im Labor von bluebox entdeckt wurde und bei fast 99 Prozent aller Androidgeräte vorzufinden ist, sowie um eine ähnliche Schwachstelle, die letzte Woche von Forschern einer Android-Sicherheits-Einheit in China aufgedeckt wurde.

Die Apps, die im Google Play App-Store gefunden wurden, scheinen glücklicherweise über keinen bösartigen Inhalt zu verfügen. Auf Grund des Fundes ist allerdings fraglich, in wieweit Google seine Apps auf Malware durchsucht, bevor sie zum Verkauf angeboten werden. Bei dem jetzt bekannt gewordenen Vorfall handelt sich um die Spiele ‚Rose Wedding Cake Game‘ und ‚Pirates Island Mahjong‘, die beide im App-Store gratis zum Download bereitstanden. Sie wurden zwischen 15 000- und 60 000-mal heruntergeladen.

Google war erst im Februar auf den Sicherheitsvorfall „Master-Key“ aufmerksam gemacht worden. Es ist verwunderlich, dass der Fehler nicht von Googles automatischer Sicherheitskontrolle, die erst im Mai/Juni diesen Jahres aktualisiert wurde, entdeckt worden ist. Dies könnte damit zusammenhängen, dass die Apps selber eben keinen bösartigen Inhalt hatten.

Laut Bogdan Botezatu, dem Sicherheitsforscher von BitDefender und Entdecker der beiden Apps im Google-Store, stellen die Applikationen aber keine Bedrohung dar:

„Wir haben Google sowie die Entwickler der Apps sofort unterrichtet.“

Das Sicherheitsproblem kann entweder auf Grund eines Programmierfehlers oder auf Grund der Verwendung eines bestimmten Development-Toolkits (AdobeAIR) aufgetaucht sein.

Man hätte diese Art von Fehler allerdings eher auf einem unzuverlässigen App-Portal vermutet, also bei Google Play selber.

Erleichterung kann sich bei den Android-Nutzern einstellen: Android hat den Fehler bereits ausgebessert. Nutzer der neuesten Android-Geräte (zB Samsung Galaxy S 4 oder HTC One), die bereits über die neuste Version des Betriebssystems verfügen, werden bemerken, dass die besagten Apps auf ihren Geräten nicht mehr funktionieren.

Anmerkung: Diejenigen Anwender, die oft Monate auf ein Betriebssytemupdate ihres Smartphone- oder Tablet-Anbieters warten, müssen mit der Sicherheitslücke leben. Das ist ein unakzeptabler Zustand. Die Updatepolitik bei vielen Smartphone-Herstellern ist hier leider enorm verbesserungswürdig.

Siehe auch: Fehler im Android-Betriebssystem erlaubt es, Apps heimlich abzuändern

Artikel von informationweek.com, 17.07.2013: Google Play Has Apps Abusing Master Key Vulnerability