Google Android bis 4.2 APK Package Signature schwache Verschlüsselung ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.3 | $0-$5k | 0.00 |
Zusammenfassung
In Google Android wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht um eine nicht näher bekannte Funktion der Komponente APK Package Signature Handler. Mittels Manipulieren mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2013-4787 gehandelt. Ausserdem ist ein Exploit verfügbar. Diese Schwachstelle hat aufgrund ihres Hintergrunds und ihrer Rezeption eine historische Bedeutung. Zum jetzigen Zeitpunkt bestehen weiterhin Zweifel an der tatsächlichen Existenz dieser Schwachstelle. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Es wurde eine Schwachstelle in Google Android (Smartphone Operating System) entdeckt. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code der Komponente APK Package Signature Handler. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-310 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Android 1.6 Donut through 4.2 Jelly Bean does not properly check cryptographic signatures for applications, which allows attackers to execute arbitrary code via an application package file (APK) that is modified in a way that does not violate the cryptographic signature, probably involving multiple entries in a Zip file with the same name in which one entry is validated but the other entry is installed, aka Android security bug 8219321 and the "Master Key" vulnerability.Die Schwachstelle wurde am 03.07.2013 durch Jeff Forristal von Bluebox Security als Android Security Bug 8219321 in Form eines nicht definierten Blog Posts (Website) publiziert. Das Advisory findet sich auf bluebox.com. Die Herausgabe passierte in Zusammenarbeit mit Google. Im Advisory ist nachzulesen:
[A] vulnerability in Android’s security model that allows a hacker to modify APK code without breaking an application’s cryptographic signature, to turn any legitimate application into a malicious Trojan, completely unnoticed by the app store, the phone, or the end user. (…) This vulnerability, around at least since the release of Android 1.6 (codename: “Donut” ), could affect any Android phone released in the last 4 years – or nearly 900 million devices – and depending on the type of application, a hacker can exploit the vulnerability for anything from data theft to creation of a mobile botnet.Bluebox hat den Bug mit der Nummer 8219321 laut dem US-Blog The Verge bereits im Februar an das Google-Team weitergeleitet. Technische Details zu diesem Sachverhalt werden an einem Vortrag an Black Hat USA 2013 veröffentlicht werden. Die Identifikation der Schwachstelle wird seit dem 09.07.2013 mit CVE-2013-4787 vorgenommen. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 11.06.2024). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1600 bezeichnet. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr. Das Advisory weist darauf hin:All Android applications contain cryptographic signatures, which Android uses to determine if the app is legitimate and to verify that the app hasn’t been tampered with or modified. This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.Ein öffentlicher Exploit wurde durch Jeff Forristal entwickelt und 2 Monate nach dem Advisory veröffentlicht. Unter gist.github.com wird der Exploit zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k. Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt. Das Advisory zeigt auf:
Installation of a Trojan application from the device manufacturer can grant the application full access to Android system and all applications (and their data) currently installed. The application then not only has the ability to read arbitrary application data on the device (email, SMS messages, documents, etc.), retrieve all stored account & service passwords, it can essentially take over the normal functioning of the phone and control any function thereof (make arbitrary phone calls, send arbitrary SMS messages, turn on the camera, and record calls). Finally, and most unsettling, is the potential for a hacker to take advantage of the always-on, always-connected, and always-moving (therefore hard-to-detect) nature of these “zombie” mobile devices to create a botnet. Funktionierende Proof-of-Concept Exploits für verschiedene Android-Geräte werdem im Rahmen des Vortrags an der Black Hat USA 2013 vorgestellt werden. Ein Aktualisieren auf die Version 2013-07-07 vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Das Problem kann zusätzlich durch den Einsatz von Apple iOS oder Microsoft Windows Phone als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Installieren des jeweiligen Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Google hat nachweislich vorab gehandelt. Das Advisory stellt fest:
It’s up to device manufacturers to produce and release firmware updates for mobile devices (and furthermore for users to install these updates). The availability of these updates will widely vary depending upon the manufacturer and model in question. Heise stellt fest: "Unklar ist, ob die Lücke bereits installierte Software betrifft, der Angreifer ein gefälschtes Update mit scheinbar korrekter Signatur unterschiebt oder ob es um die erstmalige Installation eines Programms geht."Unter anderem wird der Fehler auch in den Datenbanken von X-Force (85500), Exploit-DB (38627), SecurityFocus (BID 60952†), OSVDB (94773†) und Vulnerability Center (SBV-42084†) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de. Weitere Informationen werden unter pcworld.com bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-9515. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
- 1.6
- 2.0
- 2.0.1
- 2.1
- 2.2
- 2.2.1
- 2.2.2
- 2.2.3
- 2.3.1
- 2.3.2
- 2.3.3
- 2.3.4
- 2.3.5
- 2.3.6
- 2.3.7
- 3.0
- 3.2.1
- 3.2.2
- 3.2.4
- 3.2.6
- 4.0
- 4.0.1
- 4.0.2
- 4.0.3
- 4.0.4
- 4.1
- 4.1.2
- 4.2
Lizenz
Webseite
- Hersteller: https://www.google.com/
CPE 2.3
CPE 2.2
Screenshot
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.1VulDB Meta Temp Score: 7.3
VulDB Base Score: 8.1
VulDB Temp Score: 7.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Jeff Forristal
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Upgrade: Android 2013-07-07
Alternative: Apple iOS/Microsoft Windows Phone
Timeline
01.02.2013 🔍03.07.2013 🔍
03.07.2013 🔍
04.07.2013 🔍
09.07.2013 🔍
09.07.2013 🔍
01.08.2013 🔍
24.10.2013 🔍
11.06.2024 🔍
Quellen
Hersteller: google.comAdvisory: Android Security Bug 8219321
Person: Jeff Forristal
Firma: Bluebox Security
Status: Nicht definiert
Koordiniert: 🔍
Infragegestellt: 🔍
CVE: CVE-2013-4787 (🔍)
GCVE (CVE): GCVE-0-2013-4787
GCVE (VulDB): GCVE-100-9315
X-Force: 85500
SecurityFocus: 60952
OSVDB: 94773
Vulnerability Center: 42084 - Google Android 1.6 - 4.2 Remote Code Execution Vulnerability Using Master Key to Change APK Code, Critical
Heise: 1911077
scip Labs: https://www.scip.ch/?labs.20150917
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 04.07.2013 11:22Aktualisierung: 11.06.2024 11:56
Anpassungen: 04.07.2013 11:22 (70), 14.05.2017 09:34 (18), 11.06.2024 11:56 (17)
Komplett: 🔍
Cache ID: 216:F29:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.