MACNOTES

Veröffentlicht am  4.07.13, 6:05 Uhr von  

Riesige Android-Sicherheitslücke betrifft 99% aller Devices

Android-Rowdy Android-Rowdy

Bluebox Security hat eine verheerende Sicherheitslücke im Android-Betriebssystem aufgedeckt, von der 99 Prozent aller Android-Devices potenziell betroffen sind. Die Problemstelle würde das “unbemerkte” Aushorchen und Manipulieren der Geräte erlauben, das Ausspähen von Passwörtern und das Fernsteuern der Android-Devices als multinationales Botnetz.

Einige der Aussagen über die Android-Sicherheitslücke sind eher theoretischer Natur, solange unklar ist, ob Hacker seit der Veröffentlichung von Android 1.6 denselben Wissensstand erlangen konnten wie Bluebox Security aus San Francisco.

System-Fehler

Das Datensicherheits-Unternehmen fand eine gravierende Lücke, die als “Fehler im System” bezeichnet werden muss. Offenbar sind Veränderungen am APK-Code von Apps möglich, da das System nicht ganz ausgereift scheint was die Verifikation und Installation von Apps angeht.

Unkontrollierbarer Schaden

Sollten Hacker von diesem Eingangstor erfahren und sich die Update-Mentalität im Android-Umfeld nicht durch Zwangsmaßnahmen verbessern, droht mittelfristig ein Desaster. Vor allem Geräte, die nicht mehr aktualisiert werden können stellen ein hohes Sicherheitsrisko dar.

“A device affected by this exploit could …become a part of a botnet, eavesdrop with the microphone, export your data to a third party, encrypt your data and hold it hostage, use your device as a stepping stone to another network, attack your connected PC, send premium SMS messages, perform a DDoS attack against a target, or wipe your device.”

Bluebox Security

Riesiges Ausmaß

Die Sicherheitslücke gibt es seit etwa vier Jahren, seit der Veröffentlichung von Android 1.6 “Donut”. Alle neueren Versionen von Eclair über Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich und Jelly Bean sind ebenfalls betroffen.

Falscher Zwilling

Apps von einigen VPN-Anbietern wie Cisco oder Installer-Anwendungen von Smartphone- oder Tablet-Herstellern wie HTC, Samsung, Motorola oder LG haben besondere Systembefugnisse. Eine Malware, die sich auf “einfache” Weise als eine dieser Apps ausgibt, ohne dass irgendein Mechanismus im System dies merken “kann”, würde sofort das ganze Gerät und alle Daten darauf manipulieren, kompromittieren und ausspähen können. Richtig programmiert könnten Hacker Anrufe aufzeichnen, die Kamera der Geräte fernsteuern und wegen des Always-on-Status der Geräte unbemerkt vom Nutzer alle Daten jederzeit und überall hin versenden.

900 Millionen Geräte

Bluebox Labs geht davon aus, dass weltweit über 900 Millionen Android-Geräte unmittelbar mit einem Firmware-Update ausgestattet werden müssten, um Schaden abzuwenden.

Immense Versäumnisse

Bluebox hat das Vorhandensein dieser Sicherheitslücke bereits im Februar 2013 Google und weiteren Android-Geräte-Herstellern gemeldet. Die Mitglieder der sogenannten Open Handset Alliance wurden darüber unterrichtet.

Google selbst hat bislang kein Statement abgegeben. Bei Samsung heißt es, dass man “ein” Smartphone bereits mit einer Art “Patch” versehen habe – es handelt sich um das Galaxy S4. Alle übrigen Geräte sind demnach weiterhin kompromittierbar.

Quelle: Bluebox Labs, via AppleInsider, engl.

 Und wie ist deine Meinung?  Schreib uns einfach!

 9 Kommentar(e) bisher

  •  Riesen Schweinerei sagte am 4. Juli 2013:

    Die Vorteile eines offenen Systems. Was “offen” auch immer bedeuten soll. Letztlich musste es so kommen. Ein derart fragmentiertes OS ist nunmal eine Spielwiese.

    … und seit Februar wird der Anwender nicht informiert.

    Antworten 
  •  DanFroid sagte am 4. Juli 2013:

    Bin zwar Fandroid aber muss trotzdem mal Licht in die Sache bringen. Dafür sind wir ja nun mal da :)

    Leider will sich auch der Entdecker der Lücke natürlich in den Vordergrund bringen und dramatisiert und verschweigt das wichtigeste dabei:
    - 99% der User beziehen ihre Apps aus dem Play Store. Dort gibt es diese Schadsoft nicht.
    - wenn man wirklich sich von irgendwelchen Warez-Seiten, wohlmöglich noch illegal was herunterläd und dies dann auch noch installieren will, MUSS man erstmal irgendwo in den tiefsten Einstellungen die Installation aus “fremden Quellen” erlauben.
    - wenn man wirklich dann noch so doof sein sollte und dies trotz Warnung tut, dann wieder versucht den fiesen download zu installieren, die weitere Warnung nochmals ignoriert – wird der download dann trotzdem nochmal auf Schadsoftware gescannt.

    Alleine vom Lesen merkt man, dass es ziemlich schwierig ist dies alles zu umgehen. NIEMAND stellt diese Sicherheitsvorkehrungen aus! Schon gar nicht die erwähnten 900 Mio. Nutzer. Wer das wirklich vorsätzlich tut, muss sich schon sehr mit dem was er da tut auskennen. Diese Leute wissen dann auch was sie da tun. Außer Bluebox Security macht dies wohl keiner :)

    Fazit ist dass die Lücke bei 99,9% der Benutzer nicht ausgenutzt werden kann.
    Das sollte man dem Artikel nochmal hinzufügen. Gejailbreakte iOS Geräte können ja auch gleiche Weise aus fremden Download Quellen kompromittiert werden.

    Antworten 
    •  at sagte am 4. Juli 2013:

      Hm, eine App, die im Google Play Store von Google als “okay” angesehen wurde, kann im zweiten Schritt schalten und walten wie sie möchte, oder?
      Man gibt sich also erst als was anderes aus, und verwandelt sich dann, wie der Wolf im Schafspelz. Und: Ein infiziertes Gerät kann andere anstecken, ohne den Weg über den Google Play.

      Und dann muss ich dir leider in die Parade fahren: 99% Google Play sind nicht nur utopisch, sondern schlichtweg falsch. Es gibt Android-Geräte, die gar keinen Zugriff auf Google Play haben, bzw. eigene proprietäre Systeme nutzen, vgl. Kindle Fire. Mit Android ist nicht nur Smartphone gemeint, sondern z. B. auch die Ouya oder Sonys Smartwatch. Nicht wahr? ^^

      Und nur zur Erklärung, wir haben neben einem iPhone und einem iPad, selbst zwei drei Android-Geräte hier (2 Smartphones und 1 Ouya). Es ist also nicht so, dass hier irgendjemand schadenfroh wäre.

      Antworten 
      •  Paul sagte am 4. Juli 2013:

        Also zunächst möchte ich klarstellen, dass deine ersten beiden Aussagen völliger Unsinn sind:

        Das Verifikationssystem von Goolges Play Store funktioniert in keinster weise so wie das des App Store; eine Applikation wird erstens nicht durch die Entscheidung eines Individuums aufgenommen oder abgelehnt, sondern durch einen äusserst komplexen Malwarescanner, und zweitens können Apps auch nicht durch Updates im Play Store kompromittiert werden, da sich dieses Prozedere bei jedem Update wiederholt. Die Apps können sich erst recht nicht selbst modifizieren, da entsprechender Code ein sofortiges KO-Kriterium für den eben erwähnten Scanner ist. Dass diese Regeln für alle Entwickler gelten, beweist das temporäre Entfernen der offiziellen Facebook-App aus dem Store. Der Grund: Die App sollte sich selbstständig aktualisieren.

        Auch kann ein Gerät nicht ein anderes infizieren. Hierfür müsste eine manuelle APK-Installation durchgeführt werden; Es ist völlig unmöglich, auf Android schädlichen oder IRGENDEINEN Code auszuführen, ohne eine präparierte App händisch zu installieren oder auf eine solche App zurückzugreifen. Andoid ist aus technischer sicht eines der sichersten Betriebssysteme aller Zeiten: Alle Apps laufen auf einer Virtual Machine (der Dalvik VM) in ihrer eigenen Sandbox und können nur im Rahmen ihrer Berechtigungen handeln, insofern das Gerät nicht gerootet ist (viel zu kompliziert für den durchschnittlichen Nutzer), und müssen dann auch noch explizit nach Superuser-Rechten fragen. Selbst mit fremden Markets ist man also noch sicher. Die Dalvik-VM und vom Hersteller gegebene Treiber zur Steuerung der Hardware sind das EINZIGE, was direkt auf dem Kernel läuft, welcher selbst auch noch etliche Sicherheitsmechamismen besitzt und allgemein vorraussetzt, dass Programme vor der Ausführung als ausführbar markiert werden.

        Die wahre Sicherheitslücke ist der Idiot, dem man das Recht gibt, über seine Hardware selbst zu walten, welcher dann aber trotzdem wahrlos auf “Installieren” drückt ohne sein Gehirn einzuschalten und die App-Berechtigungen, oder gar die dreifache Warnung beim Aktivieren von “Unbekannte Quellen” zu lesen. Am schlimmsten sind dann aber irgendwelche Online-poster, die uninformierten Mist erzählen und so Besorgnis bei anderen Nutzern auslösen, welche dann um ihre Sicherheit bangen müssen!

        Vielleicht ist es wirklich besser so, wie es Apple macht: Man entzieht dem Nutzer jegliche Rechte und garantiert dafür Sicherheit, ohne über App-Berechtigungen darüber zu informieren, welche Daten die Apps denn nun nach Hause schicken…

        Antworten 
  •  manuel sagte am 4. Juli 2013:

    “Sollten hacker von diesem einganstor erfahren” ja mit dem artikel erfahren sie es bestimmt nicht :-P ohmann facepalm

    Antworten 
    •  at sagte am 4. Juli 2013:

      Wenn ich dir erzähle, dass es in deiner Stadt einen Schatz gibt, weißt du ja trotzdem nicht, wo er ist. Über die Medien muss man vor allem die Nutzer dazu bewegen, endlich Android zu aktualisieren. Wenn denn dann wenigstens alle Geräte zeitnah mit Patches bedacht würden.

      Antworten 
  •  ApplOid Impuls sagte am 4. Juli 2013:

    Problematisch wird diese Sicherheitslücke leider erst recht, wenn die Angreifer es auf Anwendungen abgesehen haben, die von den Geräteherstellern programmiert wurden und besonders weitreichende Zugriffsrechte im Android-System haben.

    Ich habe ebenfalls in meinem Blog darüber berichtet und hoffe, dass Google und die übrigen Hersteller mit einem weitreichenden Patch antworten.

    Antworten 
  •  Martin Grasekamp sagte am 6. Juli 2013:

    Tja wenn die Leute alle zu den android billig Phones greifen, müssen sie auch mit den Konsequenzen leben
    Ein iPhone oder windows phone is da qualitativer abgesichert

    Antworten 
    •  Andreas sagte am 10. Juli 2013:

      *plönk*

      Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de