Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
3 Min Lesezeit 42 mal geteilt 45 Kommentare

[Update] Sicherheitslücke: 99 Prozent aller Android-Geräte betroffen

Immer wieder ist die Rede von Malware, Trojanern und Sicherheitslücken im Android-System. So weitreichende Konsequenzen wie der Bug, der jetzt entdeckt wurde, haben die Schwachstellen aber selten. Mitarbeiter von Bluebox, einem auf mobile Sicherheit spezialisierten Start-Up-Unternehmen, wollen eine Lücke im System entdeckt haben, die 99 Prozent aller Android-Geräte betrifft. 

malware android
Sicherheitslücken im Android-System machen jede App zum potentiellen Trojaner. / © Robbert van der Steeg @Flickr

Es klingt erschreckend: Jedes Android-Gerät, das in den letzten vier Jahren veröffentlicht wurde (fast 900 Millionen Geräte), könnte von der Sicherheitslücke betroffen sein, die es Hackern ermöglicht, völlig unbemerkt jede App in einen böswilligen Trojaner umzuwandeln und dann mit dem Smartphone anzustellen, was immer sie wollen - von Datendiebstahl bis zum Aufbau mobiler Botnetze.

Das funktioniert folgendermaßen: Jede Android-App ist durch eine digitale Signatur gekennzeichnet, die als Sicherheitsschlüssel fungiert und bei der Installation von Android registriert wird, ähnlich wie eine persönliche Unterschrift bei der Meldebehörde. Alle späteren Updates müssen die gleiche Signatur haben, um sicherzustellen, dass die Software aus der gleichen Quelle, also vom gleichen Entwickler stammt. Über die von Bluebox entdeckte Schwachstelle können Hacker allerdings diese digitale Sicherheitsschranke umgehen und jede App-Software verändern, ohne dass der Nutzer oder das System etwas davon mitbekommt. 

Besonders kritisch wird es laut Bluebox, wenn ein Angreifer es auf Anwendungen abgesehen hat, die von den Geräteherstellern programmiert wurden und besonders weitreichende Zugriffsrechte im Android-System haben. Hacker könnten über eine solche App auf das gesamte Android-System zugreifen und nicht nur sensible Daten lesen, sondern buchstäblich alle Funktionen des Telefons übernehmen. 

Die Lücke im System existiert den Sicherheitsexperten zufolge seit Android 1.6 und betrifft damit so gut wie jedes erhältliche Android-Gerät, zumindest theoretisch. Denn mit der gebotenen Vorsicht beim Downloaden von Apps kann Euch eigentlich nicht viel passieren. Außerdem solltet Ihr Systemupdates für Eure Geräte immer sofort installieren, wenn sie verfügbar sind. Denn Updates bringen nicht nur neue Funktionen, sie sind auch wichtig, um Sicherheitslücken im System zu schließen. 

[Update: 04.07.2013, 14:57 Uhr]

Das Portal CIO.com hat den Fall ebenfalls aufgegriffen und zitiert in diesem Zusammenhang Jeff Forristal von Bluebox. Dort heißt es, dass Google bereits reagiert habe und derart manipulierte Apps nicht über den Play Store verbreitet werden können. Auch sei keine App im Play Store von der Sicherheitslücke betroffen. Die Gefahr geht somit vor allem von dritten App-Stores und von manuellen Updates aus, die Android-Nutzer aus anderen Quellen als dem Play Store beziehen. Welche Geräte genau betroffen sind, ist wohl schon anhand der schieren Zahl nicht im einzelnen bekannt. Das Galaxy S4 soll laut Forristal aber bereits den benötigten Patch bekommen haben, Googles Nexus-Geräte hingegen noch nicht. Bei Google arbeite man aber an einem Update.  

[Update 2: 22.07.2013, 15:37 Uhr]  

Anscheinend ist der Play Store doch nicht so sicher, wie es noch Anfang des Monats hieß. Wie jetzt bei The Register (via Caschys Blog) zu lesen ist, wurden zwei Apps mit dem sogenannten "MasterKey"-Exploit im Play Store gefunden: Rose Wedding Cake Game und Pirates Island Mahjong Free. Beide Apps sind harmlos, von ihnen geht keine Gefahr aus, der Fehler dürfte unbeabsichtigter Natur sein. Doch die Alarmglocken schrillen trotzdem: Wenn die Sicherheitsmechanismen im Play Store wie in diesem Fall anscheinend versagen, können natürlich auch andere Apps unbemerkt diese Sicherheitslücke nutzen.

Google hat vor zweieinhalb Monaten die Update-Regeln für Apps dahingehend angepasst, dass Updates nur noch über den Play Store erfolgen können - möglicherweise als Reaktion auf das Bekanntwerden des Exploits. Die beiden Apps wurden überprüft und nicht entfernt, da sie unbedenklich sind. Außerdem hat Google einen Fix an die Hersteller verteilt, der die Sicherheitslücke schließen soll, bisher soll aber nur das Galaxy S4 das Pflaster auch erhalten haben. Wer nicht auf den Patch warten und seinen Androiden stattdessen selbst schützen möchte, kann dies per ReKey tun - Root-Rechte vorausgesetzt und natürlich auf eigene Gefahr.

Via: The Verge Quelle: Bluebox

45 Kommentare

Neuen Kommentar schreiben:
  •   32

    @ Mugendon
    Soviel zum Thema Systemstandards bei Android.
    Für mich ist das dass primäre Problem mit Android.
    Mal sehen was Google mit 5.0 ändert.
    Nach 3 Enttäuschungen mit Android bin ich beim nexus gelandet. Hier ist auch nicht alles Gold, aber für mich und meine Erwartungen das richtige, wenn Android.

  • Die Idee ist eigentlich gar nicht so blöd, aber da man nie weiß, wo die Hersteller im Sourcecode rumschrauben, könnte das in der Praxis Probleme bereiten.

  • Android benötigt dringend einen Update-Mechanismus wie Windows-Update mit dem Google kritische Sicherheitsupdates auch an den Herstellern vorbei verteilen kann.

  •   32

    Ich finde es interessant, das nicht mal die nexus einen Patch bis jetzt haben ?
    Was soll das ?

  • https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner

    Soviel zum Thema Bluebox bringt keinen Scanner auf den Markt :>

  • @Christoph V.: Dass diese Studie aber keinerlei Zusammenhang mit der potenziellen Gefahr auf einem Android-Device hat, solltest du aber auch erkennen. Wenn die Begründung schon sagt, dass ein geschlossenes System interessanter für Hacker sein soll, als das offene Android, dann frage ich mich, was diese Studie zu diesem Thema hier eigentlich aussagt? Rein gar nichts. Denn würden sich die Hacker so ausgiebig mit Android und seinen Sicherheitslücken befassen wie mit Apple iOS, dann würde das Ergebnis am Ende anders aussehen. Wahrscheinlich eher 10-1 (10 Sicherheitslücken auf Android gegenüber 1 auf iOS). So verstehe ich deine Aussage ;)

  • @Christoph V.: Dass diese Studie aber keinerlei Zusammenhang mit der potenziellen Gefahr auf einem Android-Device hat, solltest du aber auch erkennen. Wenn die Begründung schon sagt, dass ein geschlossenes System interessanter für Hacker sein soll, als das offene Android, dann frage ich mich, was diese Studie zu diesem Thema hier eigentlich aussagt? Rein gar nichts. Denn würden sich die Hacker so ausgiebig mit Android und seinen Sicherheitslücken befassen wie mit Apple iOS, dann würde das Ergebnis am Ende anders aussehen. Wahrscheinlich eher 10-1 (10 Sicherheitslücken auf Android gegenüber 1 auf iOS). So verstehe ich deine Aussage ;)

  • willst du jemanden häcken dann versteck dich auf seinem rechner und wen er sein smartphone anschliesst schick ihn einfach einen trojaner fertig... oder hack die server der herstelle und verschick den virus als update...-.- bis die das merken hast du mehr geräte verseucht als du es überhaupt vor hattest...! ALSO was soll das ganze mit Sicherheitslücke und 99% aller android geräte ist betroffen...soll das wirklich eine news sein?!?

  • @carsten müller : hab ich auch gedacht.
    "hat angeblich eine lücke entdeckt..."
    die russen haben angeblich den anti-gravitations generator und die kontrollierte kernfusion entdeckt...
    ANGEBLICH !

  • ROFL - die lächerliche "Sie habe einen Virus" Wegelagerei unter dem Artikel sehe ich ja jetzt erst...

    Sorry, aber das erklärt dann ja alles...

  • Ich würde es begrüßen, wenn hier nicht jeder Mist unreflektiert und unrecherchiert als "News" gepostet werden würde.

    Diese Panikmache ist eine Nullnews.

    Es war schon immer unsicher, seine Apps aus zwielichtigen Quellen zu beziehen.

    Und aus seiner Sandbox hüpft die App auch mit dieser Sicherheitslücke nicht.

  • Noch kein Jailbreak

  • @andro

    für iOS 6.1.3 gibt es keinen Jailbreak

  • Nehmen wir mal an die "Sicherheitslücke" besteht wirklich. Ihr glaubt doch nicht das z.B. Samsung ein Update für die älteren Smartphones rausbringen würde. Bei meinem Galaxy S Plus existiert der Bug im App Drawer immer noch(Apps werden willkürlich sortiert, mal so mal so)

    Ich denke hier handelt es sich eher um Marketing. Man soll denken: "Oh, nein, mein Smartphone ist gefährdet, schnell ein s4 kaufen."

  • Es könnte kein Bug sondern ein Feature sein. Android kommt aus Übersee. Schon mal daran gedacht?

  • wer sagt denn, dass ios keine Sicherheits Lücken hat?
    noch nie was von Jailbreak gehört? Das beruht auf einer Lücke.
    Und für das aktuellste ios 6 gibt es den JB.
    Und was meinen einige Leute hier , dass sie keine sensiblen Daten auf dem Handy haben? Das Telefonbuch ist ja schon voller solcher Daten.
    Name, Handynummer, Festnetz nr. Adresse, Geb. Datum und ein Bild haben viele von ihren Kontakten darin gespeichert.
    oder tippt ihr jede Telefonnummer einzeln mit der Hand ein?

  • Heißer Dampf mehr nicht! Da wollte sich jemand ins Gespräch bringen.

  • Mal wieder viel Wind um nichts... Wer seine System Apps durch irgendwelche komischen apks ersetzt braucht sich nicht wundern.

    Die blinke Werbung unter dem Artikel passt auch perfekt "Sie haben einen Virus! Scannen sie jetzt ihr Handy" Ja, klar.

  • androidpit ist ein Anbieter von dem die Rede ist. die Frage ist ob hier Abhilfe geschaffen wurde? wenn es niemand gibt wie bb würden solche Fehler eher nicht gefunden werden. So wie ich es verstehe kann eine manipulierte app dann auch SMS versenden und telefonieren. das kann teuer werden. Daten sind mir auch relativ egal. aber ne SMS für 20 taken würde mich echt nerven. erst recht wenn ne app das 20 mal die Nacht macht! da wäre ein Scanner gerechtfertigt.

  • Wenn man sich Apps per Sideload installiert, ist es klar, dass man sich damit etwas einfangen kann. Das gilt unter jedem Betriebssystem: Lade ich mir unter meinem Windows eine exe oder aufm Linux ein Paket aus inoffiziellen Repos gefährde ich mein System potentiell. Diese Entdeckung dürften einige im Jugendalter gemacht haben, wenn sich z.B. ein vermeintlicher Keygen als Virus herausstellte ;)
    Unter Android ist es halt auch nicht anders.

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!