Beliebte Smartphones betroffen Android-Lücke gefährdet Handys von Google und Samsung

Eine Google-Sicherheitsexpertin warnt vor einer Schwachstelle im Mobil-Betriebssystem Android. Die Lücke stellt für mehrere weitverbreitete Handys ein Risiko dar und wird von Hackern offenbar bereits ausgenutzt.

Pixel-Smartphone von Google: eines der gefährdeten Modelle
Beck Diefenbach/ REUTERS

Pixel-Smartphone von Google: eines der gefährdeten Modelle


Maddie Stone, ein Mitglied von Googles Hackerteam Project Zero, warnt vor einer schwerwiegenden Sicherheitslücke, die verschiedene Android-Geräte betrifft - darunter auch Modelle von Google selbst. Es soll bereits ein passender Exploit im Umlauf sein, schreibt Stone, ein Programm also, mit dem sich die Lücke ausnutzen lässt.

Stones Informationen zufolge wird der Exploit der NSO Group zugeschrieben, einer berühmt-berüchtigten Cybersicherheitsfirma aus Israel. Die Firma könnte ihn selbst eingesetzt haben oder einem ihren Kunden zur Verfügung gestellt haben. Dass ein Exploit direkt einer Firma zugeordnet wird, kommt eher selten vor.

Der Fehler im Android-System ermögliche es Angreifern, die Geräte zu übernehmen, wenn der Nutzer zuvor eine schadhafte App installiert habe, heißt es in Stones Ausführungen. Alternativ soll aber auch ein Angriff aus der Ferne über den Chrome-Browser möglich sein. Dafür müsse die Lücke jedoch mit dem Ausnutzen einer zweiten Schwachstelle kombiniert werden.

Maddie Stone zufolge stellt die Lücke für die weitverbreiteten Google-Smartphones Pixel und das Pixel 2 sowie deren XL-Varianten ein Sicherheitsrisiko dar. Anfällig seien außerdem mindestens das Huawei P20, das Xiaomi Redmi 5A, das Xiaomi Redmi Note 5, das Xiaomi A1, das Oppo A3, das Moto Z3, LG-Smartphones mit Android 8 (Oreo) sowie die Samsung-Smartphones S7, S8 und S9.

Neuere Pixel-Geräte sind geschützt

Das Android-Team habe das Problem als schwerwiegend eingestuft, schreibt Stones Project-Zero-Kollege Tim Willis. Google Pixel-3- und 3a-Geräte sind demnach nicht von der Lücke betroffen. Auf den älteren, gefährdeten Pixel-Modellen soll die Schwachstelle im Rahmen des regulären Oktober-Updates geschlossen werden.

Wann und ob überhaupt auch die Smartphones der anderen Hersteller gegen den Angriff geschützt werden, blieb zunächst unklar. Vom Android-Team hieß es aber, dass die Partnerfirmen informiert worden seien und dass ihnen ein Patch zugänglich gemacht worden sei.

Googles Project Zero gibt Herstellern üblicherweise 90 Tage Zeit, gemeldete Lücken zu schließen. Im aktuellen Fall entschied man sich aber, schon nach sieben Tagen öffentlich auf das Problem aufmerksam zu machen, da die Lücke bereits aktiv von Angreifern ausgenutzt wird.

Das Tech-Magazin "ArsTechnica" kommt angesichts der Lücke zu der Einschätzung, dass Besitzer gefährdeter Android-Geräte nicht in Panik verfallen sollten. Die Chance, Ziel der beschriebenen Angriffe zu werden, sei extrem gering. Es könnte aber durchaus sinnvoll sei, auf die Installation nicht dringend notwendiger Apps zu verzichten, heißt es. Ebenso könne man erwägen, auf gefährdeten Geräten den Chrome-Browser nicht zu verwenden, bis ein Sicherheitsupdate des Handyherstellers eingespielt wurde.

mbö



insgesamt 22 Beiträge
Alle Kommentare öffnen
Seite 1
shardan 04.10.2019
1. Es rächt sich...
Es rächt sich, dass Google im Android etliche Apps einbetoniert hat, sie lassen sich nicht entfernen. Chrome ist eine davon - muss sein, mann will die Daten des Users. In einem solchen Fall lassen sie sich nicht entfernen - ein Sicherheitsrisiko. Man kann tatsächlich nur raten, immer einen alternativen Browser zu verwenden, es gibt eine Menge davon. Opera, Firefox, Vivaldi... alle haben eine mobile Version.
klarafall 04.10.2019
2. schwach
gut, SPON ist kein Magazin für Hi-Tech, aber bitte: WAS SOLL DAS? Ein Artikel, der rein GAR NICHTS aussagt, ausser daß eine Sicherheitslücke gefunden wurde? Das ist übelster Click-Bait ohne jede weiterführende Information. Wenn man über eine Sicherheitslücke berichtet, dann bitte mit Zahlen, Daten, Fakten. Nebulös Angst zu verbreiten sollte eigentlich (weit) unter dem Niveau von SPON liegen...
touri 04.10.2019
3.
Ich kann mir jetzt leider ein Lachen nicht ganz verkneifen, weil einer der ersten Kommentare hier im Forum zu dem Thread bzgl. der kürzlich festgestellten Sicherheitslücke beim Iphone war sinngemäß, Iphone ist scheiße, mein Samsung ist top" :D Aber etwas ernster, das scheint eine sehr ernstzunehmende Sicherheitslücke zu sein, da auch kein physischer Zugriff erforderlich ist. Ich hoffe die betroffenen Firmen bekommen das schnell gepatcht.
Rollerfahrer 04.10.2019
4. Jede App ist ein zusätzliches Sicherheitsrisiko!
Jede App hat mehr Zugriffsrechte als der Browser, wie auch immer er heist! Der Browser ist definitiv am besten geschützt gegen Zugriffe auf die Geräte, denn er ist im Grunde der Angriffspunkt aus dem Netz schlecht hin. Die Hersteller tun alles dafür, den mittels Sandboxing und vielem mehr zu dagegen zu schützen. Das ist bei den Apps definitiv nicht der Fall, sie tragen die Sicherheitsprobleme sogar gleich mit sich! Deshalb, wo immer es geht, auf Apps verzichten und stattdessen die Funktionen über den Browser durch die Webzugriffe benutzen. Das geht im Banking, im Einkauf und sogar bei Facebook, Whatsapp und bei ganz vielen mehr. Ist halt meist nur etwas weniger bequem. Dafür deutlich sicherer! Fazit: Bequem sein zahlst du mit deinen Daten!
DerDifferenzierteBlick 04.10.2019
5. Wie immer gilt: Das Hauptrisiko befindet sich vor dem Bildschirm...
Solange man nicht dubiose Apps installiert oder über Chrome auf merkwürdige Internetseiten geht, ist man nicht in Gefahr.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.