CyanogenMod: Schwere Sicherheitslücke macht Custom ROM anfällig für Man-in-the-Middle-Attacken

Frank Ritter 32

Das CyanogenMod-Team hat sich auf die Fahnen geschrieben, dass ihr Custom ROM in vielen Bereichen sicherer sein soll als Stock Android und Hersteller-Firmwares. Nun aber haben sich die Custom ROM-Macher selbst einen schweren Sicherheits-Lapsus erlaubt. Durch eine Lücke im CyanogenMod-Updater kann mit verhältnismäßig einfachen Mitteln ein manipuliertes Firmware-Paket auf Geräten mit CyanogenMod landen.

CyanogenMod: Schwere Sicherheitslücke macht Custom ROM anfällig für Man-in-the-Middle-Attacken

Wer die alternative Android-Distribution CyanogenMod auf seinem Gerät nutzt, kennt das: In regelmäßigen Abständen überprüft die Custom ROM per integriertem Updater, ob eine neue Version zur Verfügung des ROMs zur Verfügung steht, meldet sie bei Verfügbarkeit und lädt diese auf Wunsch des Nutzers herunter. Danach bootet der Updater in den Recovery-Modus und flasht das Paket im ZIP-Format selbständig. Ein Sicherheitsforscher, der sich Kyh nennt, dokumentiert nun auf seinem Blog, dass man mit sehr einfachen Mitteln diesen Mechanismus aushebeln kann und – im schlimmsten Falle – dem Nutzer auf diese Weise eine modifizierte Firmware unterjubeln kann.

Zentrales Problem ist, dass sämtliche Update-Abfragen an die CyanogenMod-API über nicht verschlüsselte Übertragungskanäle stattfinden. Mit einem so genannten Man-in-the-Middle (MITM)-Angriff kann, etwa in einem offenen WLAN oder wenn jemand Zugriff auf einen beliebigen Datenknoten zwischen Gerät und Update-Server hat, sehr leicht die API-Anfrage geändert werden, sodass sie auf eine modifizierte Download-URL verweist. CyanogenMod führt zwar eine Überprüfung der Datenintegrität des heruntergeladenen Firmware-ZIPs per Abgleich mit einem MD5-Check durch, allerdings wird auch die MD5-Prüfsumme über die API per ungesicherter Verbindung übertragen – diese kann also einfach durch den MD5-Hash des modifizierten Pakets ersetzt werden.

Brisant ist diese Lücke aus zwei Gründen: Zum einen weil es damit möglich ist, komplett modifizierte Betriebssystem-Pakete auf zahlreiche Geräte zu bringen – möglicherweise mit, aber nicht begrenzt auf, Backdoors und Rootkits. Der Quellcode von Android und CyanogenMod ist bekanntermaßen für jedermann einsichtig, daher ist die Manipulation des Codes sehr leicht; sehr wahrscheinlich merkt das Opfer einer Attacke in keinster Weise, dass er ein manipuliertes Betriebssystem verwendet.

Zum anderen gewinnt das Problem an Gewicht, weil angesichts der Enthüllungen im Geheimdienst-Skandal der letzten Monate deutlich wurde, dass solche Gefahren nicht nur theoretisch bestehen. Code-Experten von NSA, GHCQ und Co. könnten, ebenso wie organisierte Hacker, diese Lücke bereits seit geraumer Zeit ausnutzen, um Zugriff auf Passwörter und die auf Smartphones gespeicherten Daten zu erlangen.

Der Bug ist im Bugtracker des CyanogenMod-Teams verzeichnet, an einem Fix wird offenbar bereits gearbeitet. Wir empfehlen bis zu einer Lösung des Problems Firmware-ZIP-Pakete direkt von https://download.cyanogenmod.org (auf das https am Anfang achten!) herunterzuladen und manuell zu flashen. Entsprechend sollte man natürlich auch daran denken, die Auto-Update-Funktion deaktivieren.

Quelle: kyhwana.org [via HN]

Zu den Kommentaren

Kommentare zu dieser News

* Werbung