Handy & Smartphone Sicherheitslücke bedroht 900 Millionen Android-Nutzer
News folgenSicherheitsforscher haben einen massiven Fehler im Google-Betriebssystem Android entdeckt, der über 900 Millionen Smartphones verwundbar macht. Wie der australische Sicherheitsdienstleister Bluebox Security berichtet, sind somit fast alle Android-Smartphones betroffen. Nur ein Smartphone-Modell ist bereits mit einem Patch ausgestattet und deswegen geschützt.
Die Sicherheitslücke erlaubt es Hackern, ihre Trojaner als vertrauenswürdige Apps zu tarnen. Denn der Android-Fehler stecke ausgerechnet im Signatur-System für Apps. Die Signatur einer App funktioniert wie ein Schlüssel und garantiert üblicherweise, dass der Programmcode einer Anwendung nicht durch Dritte verändert werden kann.
Bluebox Security fand aber heraus, dass sich Androids Signaturschutz umgehen lässt. So sei es Online-Kriminellen möglich, unbemerkt Schadcode in bereits installierte Apps einzuschleusen. Aufgrund des Fehlers im Signatur-System würde Android nicht merken, dass sich der App-Code verändert hat – die Schadcode-Infektion könnte ebenso wie ein harmloses App-Update aussehen.
Komplett-Zugriff auf Android-Smartphones
Je nachdem, welche Berechtigungen eine installierte App besitzt, ergeben sich Angreifern unterschiedliche Möglichkeiten, persönliche Daten wie E-Mails, Passwörter und PINs abzugreifen oder auf die kompletten Funktionen eines Smartphones zuzugreifen, erklärt Bluebox Security auf dem eigenen Firmenblog. Besonders gefährlich sei es, wenn Apps, die direkt von den Herstellern stammen, infiziert würden. Denn diese verfügen oft über tiefgehende Berechtigungen.
Es ist ebenso möglich, dass Online-Kriminelle zunächst harmlos erscheinende Apps verbreiten, die erst nach einer Installation den Schadcode herunterladen und Hackern somit eine gefährliche Hintertür öffnen.
Die Lücke betrifft alle Android-Versionen ab Android 1.6 (Donut), also 99 Prozent aller Android-Modelle. In älteren Versionen des mobilen Betriebssystems ist die Sicherheitslücke zwar nicht zu finden, allerdings dürften kaum noch Smartphones mit diesen Versionen in Gebrauch sein.
Aktualisierung fraglich
Laut Bluebox wurde Google bereits im Februar 2013 auf die Lücke hingewiesen. Im März soll Google die Hersteller informiert haben, doch nur Samsung habe bisher sein aktuelles Topmodell Samsung Galaxy S4 mit einem Patch versehen. Auch Google selbst hatte lange kein Update vorbereitet, so dass auch die Nexus-Smartphones und -Tablets zurzeit noch ungeschützt sind.
Mittlerweile hat Google die Lücke geschlossen und einen Patch bereitgestellt. Doch das bedeutet das nicht, dass das Update auch beim Smartphone-Besitzer ankommt. Zunächst wird das Update an Besitzer von Nexus-Geräten geschickt. Doch alle anderen Smartphones und Tablets sind auf eine Aktualisierung vom Hersteller angewiesen, da sie mit angepassten Oberflächen ausgestattet sind.
Doch die Update-Politik der Hersteller ist wohl die größte Schwäche von Android. Samsung, Sony, HTC und Co. aktualisieren ihre Smartphones nach Gutdünken. Wenn überhaupt, werden nur die neuesten Modelle aktualisiert, doch selbst diese häufig mit bereits überholten Versionen. Vielen Smartphones wird Android 4.1 nachgereicht, die aktuelle Version wäre 4.2.2. Selbst nagelneue Modelle werden häufig mit alten Android-Versionen verkauft. Eine aktuelle Android-Version ist ein gutes Verkaufsargument für viele Smartphones der Mittel- und Einsteigerklasse, weil sich diese häufig von älteren Modellen sonst nur optisch unterscheiden.
Angriff über App-Installation
Android-Nutzer können sich schützen, indem sie nur Apps von sicheren Quellen installieren. Obwohl es auch beim offiziellen Google Play Store keine hundertprozentige Sicherheit gibt, sind die Nutzer hier noch am besten aufgehoben. Andere App-Stores unterliegen zum Teil überhaupt keiner Überwachung und sind daher unsicherer. Bluebox rät, bei der Installation von Android-Apps darauf zu achten, von wem die Installationsdatei stammt.
Ein weiterer Schutz ist, die WLAN-Funktion außerhalb vertrauter Netzwerke zu deaktivieren. Denn diese Funktion sucht im Hintergrund nach offenen Netzen. Über eine Smartphone-Verbindung zu einem absichtlich ungeschützten WLAN wäre es möglich, unbemerkt einen Update-Vorgang von manipulierten Apps zu initiieren.
