Bereits vor längerem gelang es einem Sicherheitsforscher, den Inhalt eines digital signierten Pakets einer Android-App zu verändern, ohne dass sich dessen Signatur verändert.
Hierdurch ist es z.B. möglich, Schadcode in eine App einzuschleusen. Sämtliche eingebauten Tests von u.a. Android auf Veränderungen der Signatur würden nichts erkennen und die App als unverändert bewerten.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Mit Android 4.4 scheint Google den entdeckten Fehler bei der Überprüfung behoben zu haben.
Quelle: heise.de
Bereits im Juli entdeckten Sicherheitsexperten einen vergleichbaren, "MasterKey-Bug" getauften Fehler: "Android: Sicherheitslücke in allen Versionen seit 1.6 entdeckt - App-Signaturen lassen sich umgehen".