Android-Sicherheitslücke Angreifer können Schadsoftware aufs Handy beamen

Der NFC-Nahfunk von Android-Handys könnte missbraucht werden, um unbemerkt schädliche Apps zu installieren. Eigentlich hat Google das Problem längst gelöst. Trotzdem müssen viele Anwender zur Selbsthilfe greifen.

In erster Linie dürfte NFC-Nahfunk derzeit für Bezahlvorgänge verwendet werden. Doch Kriminelle könnten die Technik missbrauchen
Getty Images

In erster Linie dürfte NFC-Nahfunk derzeit für Bezahlvorgänge verwendet werden. Doch Kriminelle könnten die Technik missbrauchen


Ausgerechnet eine Funktion, die dazu gedacht ist, den Umgang mit Android-Smartphones leichter zu machen, kann von Kriminellen ausgenutzt werden, um Schadsoftware auf die Geräte zu schleusen. Dabei kennen vermutlich nur wenige Anwender die Android Beam genannte Technik. Sie ermöglicht es Anwendern, große Dateien per NFC von einem Gerät auf ein anderes zu kopieren, einfach, indem man das sendende und das empfangene Android-Gerät aneinanderhält.

Seit der Einführung dieser Technologie mit Android 4.0 fragte das System den Anwender stets um Erlaubnis, wenn jemand versuchte, auf diesem Weg eine App zu installieren. Derartige Installationen wurden genauso behandelt wie Versuche, Apps aus anderen Quellen als dem Play Store zu installieren.

Mit dem Update auf Android 8 wurde diese Praxis jedoch geändert. Die Warnung, dass man eine App aus einer unbekannten Quelle installiert, taucht bei Installationen per NFC seither nicht mehr auf. Ein einziger Fingertipp des Nutzers genügt nun, um eine solche App zu installieren, die sich beispielsweise als Update tarnen kann. Auch Android 9 und 10 sind von diesem Problem betroffen.

Alles andere als eine neue Erfindung: Schon 2011 präsentierte der damalige Android-Chef Hugo Barra die Android-Beam-Funktion
REUTERS

Alles andere als eine neue Erfindung: Schon 2011 präsentierte der damalige Android-Chef Hugo Barra die Android-Beam-Funktion

Google selbst schätzt die Gefährlichkeit dieser Sicherheitslücke als hoch ein. Der Sicherheitsforscher Yakov Shafranovich hatte sie dem Unternehmen bereits Ende Januar gemeldet. Mit dem monatlichen Android-Sicherheits-Update im Oktober hat der Konzern die Lücke auch schon behoben. Dieses Update dürften bisher allerdings nur vergleichsweise wenige Android-Nutzer auf ihren Geräten eingespielt haben.

Besitzer von Pixel-Smartphones sind fein raus, denn die Google-Handys bekommen solche Updates meist als Erste. Auch Motorola und Nokia sind in der Regel vorbildlich schnell darin, die monatlichen Updates an ihre Kunden weiterzugeben. Viele andere Hersteller aber scheuen den damit verbundenen Aufwand. Sogar nagelneue Smartphones werden oft mit veralteter Software ausgeliefert.

Welcher Sicherheitspatch installiert ist, sieht man in den Einstellungen unter System/Über das Telefon oder System/Über das Telefon/Software-Information bei einem Eintrag, der Android-Sicherheitspatch oder Android-Sicherheitspatch-Level heißt.

Bloß niemanden zu dicht ranlassen

Ist noch ein veralteter Sicherheitspatch auf dem Gerät, kann man sich gegen Angriffe durch die geschilderte Sicherheitslücke schützen, indem man entweder Android Beam abschaltet oder NFC gleich komplett deaktiviert. Dann lassen sich allerdings beispielsweise digitale Bezahlfunktionen wie Google Pay nicht mehr benutzen.

Wo sich die entsprechenden Einstellungen finden, variiert von Gerät zu Gerät. Meist sind sie in den Einstellungen unter Einträgen wie Geräteverbindung oder Verbundene Geräte zu finden. Im Zweifel findet man sie über das Suchfeld, ganz oben in den Einstellungen.

Ein ganz banaler Tipp ist es auch, fremde Smartphones von seinem Smartphone fernzuhalten. Denn damit der NFC-Hack überhaupt funktioniert, müsste ein Täter sein sendendes Gerät schon bis auf wenige Zentimeter an das Handy des Opfers heranführen. Unter optimalen Bedingungen liegt die Reichweite von NFC bei rund zehn Zentimetern.

mak



insgesamt 18 Beiträge
Alle Kommentare öffnen
Seite 1
Nonvaio01 04.11.2019
1. lachhaft
Unter optimalen Bedingungen liegt die Reichweite von NFC bei rund zehn Zentimetern. das sagt doch schon alles. Also kein problem, genauso kann ich sagen das ein haus erhebliche fehler hat, das diebe einsteigen koennen, beheban kann man das aber indem man Tueren und Fenster schliesst.
draco20007 04.11.2019
2.
"Ein ganz banaler Tipp ist es auch, fremde Smartphones von seinem Smartphone fernzuhalten. Denn damit der NFC-Hack überhaupt funktioniert, müsste ein Täter sein sendendes Gerät schon bis auf wenige Zentimeter an das Handy des Opfers heranführen. Unter optimalen Bedingungen liegt die Reichweite von NFC bei rund zehn Zentimetern." Und vielleicht viel wichtiger....NFC funktioniert NUR bei entsperrtem Smartphone...
Sleeper_in_Metropolis 04.11.2019
3.
Zitat :"Seit der Einführung dieser Technologie mit Android 4.0 fragte das System den Anwender stets um Erlaubnis, wenn jemand versuchte, auf diesem Weg eine App zu installieren. Derartige Installationen wurden genauso behandelt wie Versuche, Apps aus anderen Quellen als dem Play Store zu installieren. Mit dem Update auf Android 8 wurde diese Praxis jedoch geändert. Die Warnung, dass man eine App aus einer unbekannten Quelle installiert, taucht bei Installationen per NFC seither nicht mehr auf. " Mal ehrlich - wie dämlich ist das denn ? Wieso schalten die Entwickler diese Warnung, ausgerechnet nur bei dieser Quelle ab ? Unabhängig davon schätze ich die Gefahr des Missbrauchs in der Praxis aufgrund der im Artikel geschilderten, nötigen Rahmenbedingungen als sehr gering ein. Außerdem steht da ja noch : Zitat : "Ein einziger Fingertipp des Nutzers genügt nun, um eine solche App zu installieren, die sich beispielsweise als Update tarnen kann." Also muss der Nutzer ja letztlich doch noch einmal aktiv bestätigen, das da wirklich etwas installiert werden darf. Daher dürfte das Schadpotential wirklich überschaubar sein.
hman2 04.11.2019
4.
Zitat von draco20007"Ein ganz banaler Tipp ist es auch, fremde Smartphones von seinem Smartphone fernzuhalten. Denn damit der NFC-Hack überhaupt funktioniert, müsste ein Täter sein sendendes Gerät schon bis auf wenige Zentimeter an das Handy des Opfers heranführen. Unter optimalen Bedingungen liegt die Reichweite von NFC bei rund zehn Zentimetern." Und vielleicht viel wichtiger....NFC funktioniert NUR bei entsperrtem Smartphone...
Nope. Die Bezahlfunktion funktionier auch auf dem Sperrbildschirm...
hman2 04.11.2019
5.
Zitat von Sleeper_in_MetropolisZitat :"Seit der Einführung dieser Technologie mit Android 4.0 fragte das System den Anwender stets um Erlaubnis, wenn jemand versuchte, auf diesem Weg eine App zu installieren. Derartige Installationen wurden genauso behandelt wie Versuche, Apps aus anderen Quellen als dem Play Store zu installieren. Mit dem Update auf Android 8 wurde diese Praxis jedoch geändert. Die Warnung, dass man eine App aus einer unbekannten Quelle installiert, taucht bei Installationen per NFC seither nicht mehr auf. " Mal ehrlich - wie dämlich ist das denn ? Wieso schalten die Entwickler diese Warnung, ausgerechnet nur bei dieser Quelle ab ? Unabhängig davon schätze ich die Gefahr des Missbrauchs in der Praxis aufgrund der im Artikel geschilderten, nötigen Rahmenbedingungen als sehr gering ein. Außerdem steht da ja noch : Zitat : "Ein einziger Fingertipp des Nutzers genügt nun, um eine solche App zu installieren, die sich beispielsweise als Update tarnen kann." Also muss der Nutzer ja letztlich doch noch einmal aktiv bestätigen, das da wirklich etwas installiert werden darf. Daher dürfte das Schadpotential wirklich überschaubar sein.
Da machen Sie den selben Fehler wie der Autor. Die 10 cm sind der vorgesehene Abstand unter Normalbedingungen. Mit mehr Sendeleistung, Antennen mit höherem Gewinn und besseren Verstärkern kann man die NFC-Reichweite durchaus in den Bereich von mehreren Metern erhöhen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.