Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
2 Min Lesezeit 32 mal geteilt 45 Kommentare

Neue Sicherheitslücke betrifft fast alle Android-Smartphones [UPDATE]

In allen Android-Smartphones mit Version 4.3 oder älter (also über 80 Prozent der Geräte) gibt es ein Sicherheitsproblem im KeyStore, mit dem unbefugter Zugriff auf die Daten möglich wird. Das Android Security Team weiß seit neun Monaten von dem Fehler. Update: Offenbar sind weniger Android-Geräte betroffen als angenommen.

shutterstock 82383217 w2
© shutterstock, Pavel Ignatov

IBM-Entwickler haben vor geraumer Zeit eine Sicherheitslücke mit Androids Schlüssel-Speicher-Dienst KeyStore festgestellt. Dank zu groß bemessener Zwischenspeicher konnten Angreifer sich Zugriff auf gespeicherte Schlüssel (auch Hardware-Schlüssel) verschaffen und somit diverse Aktionen durchführen:

  1. Die Lock-Credentials des Gerätes stehlen.
  2. Entschlüsselte Master-Schlüssel, Daten, und Hardware-geschützte Schlüssel-Identifier aus dem Speicher auslesen.
  3. Dasselbe vom Flash-Speicher auslesen, um offline (bei ausgeschaltetem Gerät) anzugreifen.
  4. Mit dem Hardware-Speicher interagieren und Krypto-Operationen ausführen (Daten signieren) im Namen des Besitzers.

Spannend also, mal wieder zu sehen, welche Sicherheitslücken unter dem Radar gehalten werden. IBM hat sich mit der Veröffentlichung dieser Informationen immerhin neun Monate lang zurückgehalten und bis dahin ausschließlich dem Android Security Team davon berichtet.

Aus dem Java-Umfeld etwa ist ein virtueller Schwarzmarkt um die Sicherheitslücken entstanden, die mit der zugehörigen Virtuellen Maschine auf Millionen von Geräten verfügbar sind. Es ist also denkbar, dass es so etwas auch für Android gibt, was einmal mehr unterstreicht, wie eilig es Smartphone-Hersteller und Mobilfunk-Provider haben sollten, die Updates zu implementieren.

[UPDATE: 04.07.2014, 10:04 Uhr]

Die IBM-Forscher haben eine neuere Version ihrer Veröffentlichung herausgegeben. Dort wird angegeben, dass ausschließlich Android-Version 4.3 von dem KeyStore-Bug betroffen ist und nicht wie vormals angenommen, sämtliche Android-Versionen älter als KitKat 4.4. Damit reduziert sich die Zahl der bedrohten Geräte auf noch immer rund zehn Prozent.

Top-Kommentare der Community

  •   44
    Christoph V. 24.06.2014

    Genau deshalb sind Updates so wichtig. Nicht wegen neuen Funktionen, sondern wegen Sicherheitslücken, die geschlossen werden.

  • Andreas70 24.06.2014

    Es stellt sich die Frage, bei solchen massiven Sicherheitslücken, ob die Hardwareanbieter nicht eine Mithaftung haben, wenn durch fehlende Updates, durch diese Sicherheitslücken echte Schäden entstehen...
    Die Hersteller machen alles, dass die Nutzer keine Updates z.B. durch CustomROMs aufspielen können. Aber selbst stellen Sie teilweise nicht mal ein einziges Updates zur Verfügung.

    Hier sehe ich ein ganz wesentliches Problem, dass schnell geklärt werden muss. D.h. wer Hardware in Umlauf bringt und verhindert, dass man das OS selbst durch ein neueres, sicheres austauschen möchte, muss zu Updates gezwungen werden. Dieser Zeitraum muss im Mindesten 24 Monate umfassen, eigentlich müssten es 5 Jahre sein - wenn man mich fragt.

  • Simon P 24.06.2014

    Zitat: "wie eilig es Smartphone-Hersteller und Mobilfunk-Provider haben sollten, die Updates zu implementieren."

    Das ist die falsche Herangehensweise an das Problem. Android braucht wie Windows, Linux, MacOS einen Updatemechanismus der an Herstellern und Providern vorbei geht. Der jetztige Weg der Updates ist und bleibt zum Scheitern verurteilt.

  • Eric Herrmann
    • Staff
    24.06.2014

    Aye, genau so ist es!

  • Marius 24.06.2014

    Versteh ich das richtig, dass die Lücke seit 4.4 dann zu ist?

45 Kommentare

Neuen Kommentar schreiben:
  •   34

    Es gibt ein "Android Security Team"?
    Gemäß Google sind solche "Lücken" doch Features und keine Bugs!

    •   32

      Das stimmt. Sie werden ja angehalten sowas einzubauen oder offen zu halten für den Staat im Staat !

      Made in der großen freien Nation.

  • Ganz Toll, ausgerechnet nur bei Android 4.3. Nun gut, die Entscheidung ist gefallen. Werde meinem S3 nun in den nächsten Tagen CM flashen. Dann habe ich auch gleich noch weitere nervende Fliegen von der Samsung SW, womit ich mich bis jetzt noch abgefunden habe, beseitigt.

  • Na toll. Ich habe ein S3, nicht mal 18 Monate alt und immer noch 4.3 drauf. Soll ich mir jetzt ein neues Handy kaufen? :(
    Ganz prima, Samsung!

    • mach dir die custom rom cyanogenMod drauf und gut is 😉 i muss das wohl auch in Erwägung ziehn. denn nochmal rund 400-600 euro wegn sowas ausgebn is ja wohl nen schlechter scherz

    • Das Gerät ist seit 25 Monaten auf dem deutschen Markt. Der Support durch die Hersteller endet i. d. R. nach 1,5 bis 2 Jahren.
      Danach sollst du dir ein neues Smartphone kaufen.

      Oder du wirst selbst aktiv, um aktuell zu bleiben. Für das S3 gibt es div. aktuelle sogenannte Custom Rom's, die durch Communitys stetig gepflegt werden. So eine Custom Rom kannst du dir selbst nach dem Rooten des Gerätes installieren. Es geistern diverse Anleitungen auf Google. ;-)

  •   16

    Erinnert so langsam alles an Windows^^

  • Was ist mit dem s4 mini? Habe den paar Monate und bekomme keine Update mehr. So alt ist das Handy gar nicht mal.
    Einfach ärgerlich sowas.

    • Lern mal lesen und schreiben ;).
      Was hat es für eine Version?

    • Das S4 mini hat vor einigen Tagen von Samsung das Update auf 4.4 bekommen, ist also (zumindest von diesem Fehler) nicht betroffen. Da es zuvor (meines Wissens) auf 4.2 lief, war es offenbar überhaupt nicht betroffen.

      Arm dran sind natürlich die S3-Besitzer, die noch auf der 4.3-Stock hängen. Die sind jetzt praktisch gezwungen, selbst aktiv zu werden und sich eine Custom-Rom zu installieren.

  • Es wird nie ein System geben ohne Lücken. Um so Erfolgreicher ein System ist um so mehr wird auch nach Lücken gesucht.

  • Zitat: "wie eilig es Smartphone-Hersteller und Mobilfunk-Provider haben sollten, die Updates zu implementieren."

    Das ist die falsche Herangehensweise an das Problem. Android braucht wie Windows, Linux, MacOS einen Updatemechanismus der an Herstellern und Providern vorbei geht. Der jetztige Weg der Updates ist und bleibt zum Scheitern verurteilt.

  •   23

    Ist das normal das immer mehr Sicherheitslücken gefunden werden? Dachte immer dass das Linux System sicher sei. Klar Android ist nur noch bedingt Linux, schade eigentlich.
    Inzwischen ähnlich wie Windows um so populäre um so mehr Angriffe.

    • Android basiert auf Linux und bietet einen Unterbau, der aber durch eine Art "Aufsatz" zum Android wird. Und die Probleme liegen eben eher in der Android spezifischen Umgebung.

      Linux funktioniert grundlegend anders, eben auch die Fragen von Updates. Dort gibt es zwar viele Versionen von Linux, aber das meiste geht auf recht zentrale Sourcen zurück, die dann noch durch OpenSource von ganz vielen Leuten ständig geprüft und weiterentwickelt werden.

      Bei Android gibt es eine zentrale Firma, die alles macht. Dann kommen noch die ständigen Änderungen der Hardware Hersteller, die dann wohl auch noch für mehr Unsicherheit als Absicherung sorgen.

      Ich sage schon immer, dass wir von dem zentralistischen Google-Android weg müssen. Statt dessen muss es eine Abspaltung geben, die als einfach zu installierendes CustomROM völlig frei und durch eine rege Community gepflegt und weiterentwickelt wird.
      Mit dieser Abspaltung wird sich auch die Überwachungsproblematik eines "Evil-Google" auflösen...

  • Es stellt sich die Frage, bei solchen massiven Sicherheitslücken, ob die Hardwareanbieter nicht eine Mithaftung haben, wenn durch fehlende Updates, durch diese Sicherheitslücken echte Schäden entstehen...
    Die Hersteller machen alles, dass die Nutzer keine Updates z.B. durch CustomROMs aufspielen können. Aber selbst stellen Sie teilweise nicht mal ein einziges Updates zur Verfügung.

    Hier sehe ich ein ganz wesentliches Problem, dass schnell geklärt werden muss. D.h. wer Hardware in Umlauf bringt und verhindert, dass man das OS selbst durch ein neueres, sicheres austauschen möchte, muss zu Updates gezwungen werden. Dieser Zeitraum muss im Mindesten 24 Monate umfassen, eigentlich müssten es 5 Jahre sein - wenn man mich fragt.

    • Stimmt! Wenn man es so sieht hast du Recht. Nur weil Hersteller immer schneller Geschäftchen mit neuer Hardware machen wollen (Samsung ist da extrem) müsste Verpflichtung auf Updates aus Gründen der Sicherheit länger als 18 Monate sein. Sicherheit aller geht vor Profit weniger.

Zeige alle Kommentare
32 mal geteilt

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!