Nutzerdaten in Gefahr

Diese 25 Android-Geräte sind schon ab Werk unsicher

Frau betritt Hotelzimmer mit digitalem Zimmerschlüssel
Selbst mit Codes geschützte Geräte sind angreifbar
Foto: Getty Images

Auf einer Sicherheitskonferenz in Las Vegas machte das Unternehmen Kryptowire bekannt, dass 25 Android-Geräte bereits ab Werk teils schwere Sicherheitslücken aufweisen. Dabei sind Tablets und Smartphones von namhaften Herstellern wie Sony, LG, ASUS und Nokia.

Das Sicherheitsunternehmen Kryptowire hat letzte Woche auf der DefCon in Las Vegas bekanntgegeben, dass es nach eingehenden Tests bei 25 Android-Geräten insgesamt 38 Sicherheitslücken gefunden hat. Die Sicherheitslücken betreffen sowohl Einsteiger- als auch High-End-Geräte und kommen direkt mit den Smartphones. Das heißt, dass bereits beim Auspacken des Smartphones die Sicherheitslücke vorhanden ist und Nutzerdaten damit angreifbar sind.

Auch interessant: Unsicherheit der Menschen im Netz steigt

Welche Geräte und welche Android-Version sind betroffen?

Hier sind die betroffenen Geräte von bekannteren Hersteller aufgelistet, sowie die Android-Versionen, unter der die Sicherheitslücken auftreten, in Klammern:

Alcatel: A30 (7.0)

ASUS: ZenFone 3 Max (7.0), ZenFone V Live (7.0)

Doogee: X5 (6.0)

Essential: Essential Phone (7.1.1)

Leagoo: P1 (7.0), Z5C (6.0)

LG: G6 (7.0)

Nokia: Nokia 6 (7.1.1)

Oppo: F5 (7.1.1)

Sony: Xperia L1 (7.0)

Vivo: V7 (7.1.2)

ZTE: Blade Spark (7.1.1), Blade Vantage (7.1.1), ZMAX Pro (6.0.1), ZMAX Champ (6.0.1)

Welche Folgen haben die Sicherheitslücken?

Die meisten Attacken, die von Kryptowire getestet wurden, setzen die Installation einer App auf dem Smartphone voraus. Nutzer, die nur Apps aus Googles geschütztem Play Store installieren, sind also in den meisten Fällen nicht betroffen. Aber gerade angesichts der Ankündigung des Spieleherstellers Epic Games, sein Spiel Fortnite für Android-Geräte nur auf der eigenen Internetseite anzubieten, entstehen für den Nutzer Gefahren, schädliche App aus Versehen herunterzuladen. Um das Spiel zu installieren, muss die Installation von Apps aus unbekannten Quellen gestattet werden, die schädlicher Software Tür und Tor öffnet. Der Nutzer muss beim Download nur auf eine fremde Seite umgeleitet werden, die der Originalen täuschend ähnlich sieht und dort die mit Schadsoftware bestückte Apps herunterladen.

Laut Angelos Stavrou, dem Gründer von Kryptowire, sind die Sicherheitslücken so fatal, weil die schädlichen Apps oft keine speziellen Berechtigungen benötigen und den Nutzer deswegen nicht mal austricksen muss, um Zugriff auf persönlich Daten zu bekommen. Die Apps nutzen einfach die fehlerhafte Firmware oder vorinstallierten Apps des Herstellers.

Abgreifen von Passwörtern und Screenshots

Schädliche Apps können je nach Gerät verschiedene Auswirkungen haben. Bei ZTE-Geräten können Apps auf SMS, Anruflisten und Systemlogs (Logcat), die sensible Daten wie E-Mail-Adressen und Standort speichern, zugreifen. Beim G6 von LG können Apps nicht nur Systemlogs lesen, sondern sogar den Nutzer aus seinem Gerät aussperren. Um wieder Zugriff zu erhalten, muss das Smartphone auf die Werkseinstellungen zurückgesetzt werden. Das Essential Phone hingegen kann durch eine App direkt auf die Werkseinstellungen zurückgesetzt werden, wodurch alle Dateien auf dem Gerät gelöscht werden. Eine fehlerhafte App auf dem ZenFone 3 Max von ASUS erlaubt Hackern Zugriff auf Systemdaten und WLAN-Passwörter. Beim Sony Xperia L1 und Nokia 6 können Screenshots ohne Mitwissen des Nutzers aufgenommen werden.

https://www.techbook.de/mobile/bluetooth-sicherheitsluecke-smartphones-laptops

Wie reagieren die Hersteller?

Der Kommunikationsleister von Essential, Shari Doherty, verkündet, die Sicherheitslücke wurde nach Bekanntwerden sofort geschlossen. LG reagiert etwas gelassener und ließ in einer Pressemitteilung verheißen, es habe die Sicherheitslücken bereits per Patch geschlossen oder in geplanten Wartungsupdates adressiert. Auch ZTE habe bereits Sicherheitsupdates für einige Lücken veröffentlicht und arbeite gerade mit den Netzbetreibern daran, auch die restlichen zu schließen.

Obwohl es erfreulich ist, dass die Hersteller schnell reagieren, wird ein grundsätzliches Problem des Android-Betriebssystems sichtbar. Die Entwicklung der Sicherheitspatches kann lange dauern und sie müssen danach von Hersteller und Netzbetreiber autorisiert werden, bevor sie überhaupt beim Nutzer ankommen. Indessen kann dieser nichts tun, um sich selbst zu schützen oder überhaupt zu erkennen, dass ein Sicherheitsrisiko für ihn besteht.

TECHBOOK meint: Das Problem der Angreifbarkeit bleibt weiterhin bestehen, solange Smartphone-Hersteller die Praxis betreiben, ihren eigenen Code in das Android-Betriebssystem einzupflanzen. Google, das nur das Betriebssystem selbst bereitstellt, hat keine Handhabe darüber, wie die Hersteller damit umgehen. Es wird also auch in Zukunft Sicherheitsforschung wie die von Kryptowire geben müssen, die Sicherheitslücken erkennen und die Hersteller zur Handlung zwingen.