Riesige Android-Sicherheitslücke betrifft 99% aller Devices
Alexander Trust, den 4. Juli 2013Bluebox Security hat eine verheerende Sicherheitslücke im Android-Betriebssystem aufgedeckt, von der 99 Prozent aller Android-Devices potenziell betroffen sind. Die Problemstelle würde das „unbemerkte“ Aushorchen und Manipulieren der Geräte erlauben, das Ausspähen von Passwörtern und das Fernsteuern der Android-Devices als multinationales Botnetz.
Einige der Aussagen über die Android-Sicherheitslücke sind eher theoretischer Natur, solange unklar ist, ob Hacker seit der Veröffentlichung von Android 1.6 denselben Wissensstand erlangen konnten wie Bluebox Security aus San Francisco.
System-Fehler
Das Datensicherheits-Unternehmen fand eine gravierende Lücke, die als „Fehler im System“ bezeichnet werden muss. Offenbar sind Veränderungen am APK-Code von Apps möglich, da das System nicht ganz ausgereift scheint was die Verifikation und Installation von Apps angeht.
Unkontrollierbarer Schaden
Sollten Hacker von diesem Eingangstor erfahren und sich die Update-Mentalität im Android-Umfeld nicht durch Zwangsmaßnahmen verbessern, droht mittelfristig ein Desaster. Vor allem Geräte, die nicht mehr aktualisiert werden können stellen ein hohes Sicherheitsrisko dar.
„A device affected by this exploit could …become a part of a botnet, eavesdrop with the microphone, export your data to a third party, encrypt your data and hold it hostage, use your device as a stepping stone to another network, attack your connected PC, send premium SMS messages, perform a DDoS attack against a target, or wipe your device.“
Bluebox Security
Riesiges Ausmaß
Die Sicherheitslücke gibt es seit etwa vier Jahren, seit der Veröffentlichung von Android 1.6 „Donut“. Alle neueren Versionen von Eclair über Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich und Jelly Bean sind ebenfalls betroffen.
Falscher Zwilling
Apps von einigen VPN-Anbietern wie Cisco oder Installer-Anwendungen von Smartphone- oder Tablet-Herstellern wie HTC, Samsung, Motorola oder LG haben besondere Systembefugnisse. Eine Malware, die sich auf „einfache“ Weise als eine dieser Apps ausgibt, ohne dass irgendein Mechanismus im System dies merken „kann“, würde sofort das ganze Gerät und alle Daten darauf manipulieren, kompromittieren und ausspähen können. Richtig programmiert könnten Hacker Anrufe aufzeichnen, die Kamera der Geräte fernsteuern und wegen des Always-on-Status der Geräte unbemerkt vom Nutzer alle Daten jederzeit und überall hin versenden.
900 Millionen Geräte
Bluebox Labs geht davon aus, dass weltweit über 900 Millionen Android-Geräte unmittelbar mit einem Firmware-Update ausgestattet werden müssten, um Schaden abzuwenden.
Immense Versäumnisse
Bluebox hat das Vorhandensein dieser Sicherheitslücke bereits im Februar 2013 Google und weiteren Android-Geräte-Herstellern gemeldet. Die Mitglieder der sogenannten Open Handset Alliance wurden darüber unterrichtet.
Google selbst hat bislang kein Statement abgegeben. Bei Samsung heißt es, dass man „ein“ Smartphone bereits mit einer Art „Patch“ versehen habe – es handelt sich um das Galaxy S4. Alle übrigen Geräte sind demnach weiterhin kompromittierbar.
Quelle: Bluebox Labs, via AppleInsider, engl.