Software-Fehler Mehrere Sicherheitslücken in fast einer Milliarde Android-Geräten 

Angreifer können über eine manipulierte App vollen Zugriff auf Android-Geräte bekommen, warnt eine Sicherheitsfirma - und gibt Tipps für potenziell Betroffene.

Android-Handy von LG
DPA

Android-Handy von LG

Von


Die israelische Sicherheitsfirma Check Point hat nach eigenen Angaben vier Sicherheitslücken entdeckt, die fast eine Milliarde Smartphones und Tablets mit Android-Betriebssystem betreffen.

Wenn Angreifer die Quadrooter genannten Schwachstellen ausnutzen, könnten sie die komplette Kontrolle über ein betroffenes Smartphone übernehmen, heißt es von Check Point. Sie könnten das Gerät fernsteuern und bekämen Zugriff auf Daten, die darauf gespeichert sind.

Verantwortlich für die Sicherheitslücke sind Fehler in der Treiber-Software des LTE-Chipsets der Firma Qualcomm. Nach Angaben von Check Point würde es ausreichen, eine einfache App zu programmieren, die noch nicht einmal spezielle Rechte einfordern würde. Damit könnten Angreifer sogenannten Root-Zugriff auf das Smartphone bekommen - und hätten volle Lese- und Schreibrechte auf das ganze System.

Bisher seien die Schwachstellen noch nicht ausgenutzt worden, sagte Michael Shaulov, der bei Check Point für die Sicherheit von mobilen Produkten und der Cloud verantwortlich ist. Die Sicherheitsfirma sei bei routinemäßigen Untersuchungen auf die Schwachstellen gestoßen.

Sie erinnern an die Sicherheitslücke Stagefright, die vor rund einem Jahr als "Mutter aller Android-Schwachstellen" publik wurde. Dank der Schwachstelle war es Hackern möglich, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Auch damals waren mehr als 900 Millionen Geräte betroffen - eine Zahl, die mit der großen Verbreitung von Android-Geräten zusammenhängt.

Nur Android-Geräte betroffen

Eine der vier Sicherheitslücken betrifft laut Check Point die Software, die die Kommunikation zwischen den einzelnen Komponenten des Chipsets steuert. Weitere Schwachstellen finden sich im Android-System zur Speicherzuweisung und zwei Qualcomm-Kernel-Treibern für den Grafikprozessor. Die Treibersoftware werde dem Bericht zufolge direkt in die Android-Software eingebunden, die die Hersteller für ihre Geräte entwickeln. Von den Sicherheitslücken sind nur Android-Geräte mit dem entsprechenden LTE-Chipset betroffen, sagte Shaulov.

Darunter seien unter anderem aktuelle Geräte wie beispielsweise das BlackBerry Priv, Google Nexus 5X, 6 und 6P, Samsungs Galaxy S7 und S7 Edge, LG G4, G5 und V10 sowie das One Plus One, 2 und 3.

Check Point will Qualcomm im April über die Lücken informiert haben. Der US-Ausrüster, der 65 Prozent des weltweiten Marktanteils bei LTE-Modems hält, habe daraufhin jede dieser Schwachstellen als hoch riskant eingestuft und den Herstellern der Geräte Patches zur Verfügung gestellt.

Wie schnell und ob die Sicherheitslücken bei den betroffenen Geräten geflickt werden, sei aufgrund der besonderen Struktur der Android-Plattform unklar, sagte Shaulov. "Die Patches sind erst kürzlich veröffentlicht worden. Sie müssen ihren Weg über die Hersteller und die Provider zu den Endnutzern machen."

Der gesamte Android-Kosmos mit seiner Vielzahl an verschiedenen Geräten unzähliger Hersteller, die alle unterschiedliche Android-Versionen nutzen und diese teils selbst modifizieren, mache den Umgang mit Sicherheitslücken bei dem Betriebssystem besonders schwer, sagt Shaulov. Je früher sich Fehler in den Herstellungsprozess einschleichen, umso schwieriger seien sie zu korrigieren.

Check Point warnt Android-Nutzer daher vor dem Rooten des Systems und empfiehlt folgende Schritte:

  • Nutzer sollten die aktuellsten Updates installieren, die zur Verfügung stehen.
  • Apps sollten nur aus Googles Play Store heruntergeladen werden, außerdem sollte man darauf achten, welche Berechtigungen man ihnen einräumt.
  • Nutzer sollten nur vertrauenswürdige WLAN-Netze nutzen und sich auf Reisen nur in solche einloggen, die von einem vertrauenswürdigen Anbieter stammen.
  • Auf dem Handy sollte ein Virenscanner installiert sein.

Update 9.8.: Inzwischen meldete sich auch Qualcomm zu Wort: Nach Darstellung des Chipsatz-Herstellers könnten die Sicherheitslücken bald gestopft werden. Man sei von den Forschern zwischen Februar und April über die Schwachstellen informiert worden, teilte das Unternehmen mit. Daraufhin habe man Kunden, Partnern und der Open-Source-Gemeinschaft im Zeitraum zwischen April und Juli die entsprechenden Softwarekorrekturen zur Verfügung gestellt. Wie lange die Hersteller für die Umsetzung brauchen, ist aber unklar.



insgesamt 97 Beiträge
Alle Kommentare öffnen
Seite 1
condor99 08.08.2016
1. Mehrere Sicherheitslücken?
Das ist doch jetzt ein Witz oder. Jede App verlangt Vollzugriff auf alles und da soll ich mir jetzt sorgen um Mehrere Sicherheitslücken machen.
gympanse 08.08.2016
2.
Für das Google Nexus 5X, 6 und 6P gibt es jeden Monat updates. Davon mal abgesehen sollte man eh keine .APKs aus unsicherer Herkunft installieren. Da braucht es auch keine root Lücke um Schindluder zu betreieben.
privado 08.08.2016
3. Android
Also kurz gesagt: es bestehen nun bei nahezu allen Android-Geräten erhebliche Sicherheitslücken und man kann nichts dagegen tun. Bis es wie in meinem Fall von Samsung entsprechende Sicherheitsupdates gibt, sind wir schon im 22. Jahrhundert.
alexandermoritz 08.08.2016
4. S7 in der EU nicht betroffen
Der Artikel listet das Samsung Galaxy S7 und S7 Edge auf, es wird aber verschwiegen, dass die EU-Version gerade keinen Chip von Qualcomm nutzt, sondern eine Eigenentwicklung von Samsung. Somit dürfte die Lücke bei EU-Geräten nicht vorhanden sein.
emobil 08.08.2016
5. nicht alle!
Zitat von condor99Das ist doch jetzt ein Witz oder. Jede App verlangt Vollzugriff auf alles und da soll ich mir jetzt sorgen um Mehrere Sicherheitslücken machen.
nein, nicht alle! Wenn mir allerdings die verlangten Rechte zu weit gehen, wird die App eben nicht installiert. Das schränkt die Verwendbarkeit von android allerdings ein. Seltsam nur, dass bei einer möglichen WINDOWS Sicherheitslücke oder von Microsoft verlangten Rechten sogleich im Netz ein shitstorm losbricht - bei android hingegen nimmt die Mehrheit das klaglos hin. Damit das Lieblingsspielzeug nicht eingeschränkt wird.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.