Eine bis­lang unbekan­nte Android-Sicher­heit­slücke macht zahlre­iche Smart­phones angreif­bar: Darunter Sam­sungs Galaxy S7, S8 und S9, das Huawei P20 und ältere Google-Pix­el-Geräte. Grund zur Panik beste­ht den­noch nicht.

Derzeit klafft eine poten­ziell gefährliche Sicher­heit­slücke in zahlre­ichen Android-Smart­phones. Das berichteten Ende let­zter Woche Googles Sicher­heitsspezial­is­ten von «Project Zero». Die Lücke erlaube es Angreifern, die volle Kon­trolle über das betrof­fene Smart­phone zu erlan­gen, schreiben die IT-Experten. Hierzu müssen sie das Opfer dazu brin­gen, eine manip­ulierte App zu instal­lieren oder sie ver­suchen einen Online-Angriff, der in Kom­bi­na­tion mit ein­er weit­eren Lücke in Chrome Erfolg ver­spricht.

Allerd­ings bet­rifft das Prob­lem nur bes­timmte Android-Smart­phones. Gegenüber dem IT-Por­tal Ars Tech­ni­ca erk­lärte ein Mit­glied von Project Zero, dass min­destens 18 ver­schiedene Mod­elle betrof­fen seien.

Eine nicht-abschliessende Liste betrof­fen­er Geräte:

  • Sam­sung S7
  • Sam­sung S8
  • Sam­sung S9
  • Huawei P20
  • Pix­el 1
  • Pix­el 1 XL
  • Pix­el 2
  • Pix­el 2 XL
  • Xiao­mi Red­mi 5A
  • Xiao­mi Red­mi Note 5
  • Xiao­mi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones

Project Zero informierte das Android-Team

Googles Project Zero gibt den Soft­ware-Entwick­lern – egal ob Apple, Microsoft oder das eigene Android-Team – in der Regel 90 Tage Zeit für ein Sicher­heit­sup­date, bevor sie gefun­dene Lück­en pub­lik machen. In diesem Fall hat Project Zero dem Android-Team nur sieben Tage Zeit gewährt, weil die Lücke bere­its aktiv aus­genutzt wor­den ist.

Google hat die Lücke geschossen, aber…

Auf Nach­frage von Ars Tech­ni­ca gab Google an, die Lücke mit dem Okto­ber-Sicher­heit­sup­date für die betrof­fe­nen Pix­el-Geräte zu schliessen – was übers Wochende bere­its passiert ist. Den entsprechen­den Patch habe man auch den anderen Smart­phone-Her­stellern zur Ver­fü­gung gestellt, damit diese ihre Geräte eben­falls absich­ern kön­nen. Wann genau die anderen Her­steller ihrer­seits die Lücke schliessen, dürfte sehr unter­schiedlich sein.

Schnell reagiert hat Sam­sung und den Okto­ber-Sicher­heitspatch für gewisse Mod­elle wie das Galaxy S10 5G übers Wochende prak­tisch zeit­gle­ich mit Google verteilt.

Bild

Gefahr für Öffentlichkeit nur mässig?

Die Lücke war bis­lang nicht öffentlich, wurde laut Project Zero allerd­ings bere­its aus­genutzt. Trotz­dem sei die Gefahr für den Durch­schnittsnutzer ver­mut­lich über­schaubar, da es sich um einen soge­nan­nten «Zero-Day-Exploit» han­delt. So wer­den automa­tisierte Angriffe genan­nt, die bere­its seit ger­aumer Zeit unauf­fäl­lig, aber meist nur sehr selek­tiv gegen bes­timmte Per­so­n­en einge­set­zt wer­den. Etwa gegen hochrangige Poli­tik­er, Man­ag­er oder Aktivis­ten, die Regierun­gen ein Dorn im Auge sind.

Das Tech-Mag­a­zin ArsTech­ni­ca kommt daher zu der Ein­schätzung, dass Besitzer gefährde­ter Android-Geräte nicht in Panik ver­fall­en soll­ten. Die Chance, Ziel der beschriebe­nen Angriffe zu wer­den, sei extrem ger­ing.

In der Regel haben es die Nutzer von teuren Zero-Day-Exploits (z.B. Geheim­di­en­ste) nicht auf den Durch­schnittsnutzer abge­se­hen. Sie ver­suchen bre­it angelegte Angriffe zu ver­mei­den und ihre Schad­soft­ware nur gezielt anzuwen­den. Denn: Sobald Sicher­heit­sun­ternehmen auf die Mal­ware aufmerk­sam wer­den, dauert es nicht lange, bis die Schwach­stelle von Soft­ware­fir­men wie Google, Apple und Microsoft geschlossen wird.

Sicherheitslücke für Geheimdienste

Zero-Day-Exploits sind sehr wertvoll, da etwa Geheim­di­en­ste viel Geld dafür bezahlen, eine solche Sicher­heit­slücke möglichst lange aus­nutzen zu kön­nen, ohne dass sie bekan­nt und in der Folge geschlossen wird.

Die Experten von Project Zero gehen davon aus, dass die Angriff­s­meth­ode von der berüchtigten israelis­chen Fir­ma NSO Group entwick­elt und an staatliche Behör­den verkauft wurde. NSO demen­tiert dies. Die NSO Group ist ein Tech­nolo­gie­un­ternehmen, das üblicher­weise mit Staat­en und Geheim­di­en­sten zusam­me­nar­beit­et, etwa um iOS- oder Android-Smart­phones zu knack­en.​

Ein Zero Day Exploit gilt als beson­ders wertvolle Waffe, weil die Angriff­s­meth­ode (die Aus­nutzung ein­er Schwach­stelle) wed­er dem Her­steller noch den Sicher­heits­fir­men bekan­nt ist und weil es darum keine Schutz­mass­nah­men gibt. Den Soft­ware-Her­stellern bleiben bei Bekan­ntwer­den null Tage Zeit («Zero Days»), die Soft­warelücke zu schliessen, bevor effek­tiv Gefahr für die bre­ite Masse der Anwen­der entste­ht. Denn ist ein Zero Day Exploit erst­mal öffentlich bekan­nt, ist es nur eine Frage von Tagen oder Wochen, bis er von gewöhn­lichen Krim­inellen für gross­flächige Online-Angriffe einge­set­zt wird.

Bis der eigene Smart­phone-Her­steller das Okto­ber-Sicher­heit­sup­date verteilt hat, rät Project Zero dazu, möglichst keine Apps von ausser­halb des Google Play Stores zu instal­lieren.

Quelle: www.watson.ch

Kostenlos - eBook digitale Kompetenz

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch - eBook digitale Kompetenz

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch — eBook digital comptence (english)

 

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden