Android-Sicherheitslücken: So schützen Sie sich

Nicht nur Viren und andere Schadsoftware bedrohen Ihr Android-Mobilgerät. Auch das Betriebssystem selbst birgt Gefahren, die Sie Zeit, Geld und Ihre privaten Daten kosten können. Wir sagen Ihnen, was alles auf Sie lauert und wie Sie sich davor schützen können. [...]

Verseuchte Apps, manipulierte Webseiten und Dateien mit Schädlingen – mittlerweile sind die Gefahren für AndroidMobilgeräte fast ebenso mannigfaltig wie für den PC. Hinzu kommt: Nicht nur Gefahren von außen drohen Ihrem Smartphone und Tablet. Auch Android selbst enthält so manche Sicherheitslücke, die findige Hacker ausnutzen können. Im schlimmsten Fall hat das die Konsequenz, dass sich die Angreifer Kontrolle über Ihr Mobilgerät verschaffen, teure SMS verschicken und ihre persönlichen Daten auslesen und weitergeben. Wir haben uns Android ab Version 1.0 angesehen und listen Ihnen alle bekannten Sicherheitslücken in einer Tabelle auf. Darin finden Sie zudem die Auswirkungen und sehen auch, welche Schutzmaßnahmen Sie dagegen ergreifen können. Eine vollständige Liste sämtlicher Sicherheitslücken finden Sie unter http://androidvulnerabilities.org .

Zur besseren Übersicht werden Sicherheitslücken und andere Schwachstellen mit den sogenannten CVE-Nummern versehen (Common Vulnerabilities and Exposures), einem Industriestandard, der von den CVE Numbering Authorities verwaltet wird – das sind verschiedene Sicherheitsexperten und Behörden.

Natürlich versuchen die Gerätehersteller, aber auch Google selbst, die entdeckten Sicherheitslücken mit Updates und Patches zu schließen. Doch mit jeder neuen Betriebssystemversion und jedem Update kommen neue Gefahren.

STAGEFRIGHT UND STAGEFRIGHT 2.0

So wurde beispielsweise im Juli 2015 das Sicherheitsrisiko Stagefright bekannt. Das Stagefright-Framework wird seit Android 2.3 als Standardbibliothek zum Verarbeiten von Multimediadateien genutzt. Durch eine Sicherheitslücke kann eine präparierte Datei das Framework zum Absturz bringen und der resultierende Pufferüberlauf (Flutung zu kleiner Speicherbereiche mit großen Datenmengen) zum Ausführen von Schadcode verwendet werden.

Das im August 2015 von Google veröffentlichte Sicherheitsupdate schloss die Lücke – jedoch nicht vollständig. Zudem wurden im Oktober 2015 weitere Sicherheitsrisiken bekannt („Stagefright 2.0“), die ebenfalls auf das fehlerhafte Framework zurückzuführen waren. Und im Protokoll zum nächsten Sicherheitsupdate im November 2015 waren Hinweise zu finden, dass Google selbst noch zusätzliche, bisher unbekannte Lücken im Framework geschlossen hatte. Mehr zu Googles Sicherheitsservices finden Sie unter http://source.android.com/security/index.html .

SCHUTZ VOR SICHERHEITSLÜCKEN

Wie können Sie Ihr AndroidGerät gegen Sicherheitslücken absichern? Grundsätzlich gilt: Achten Sie darauf, dass Sie die aktuellste AndroidVersion auf Ihrem Mobilgerät haben, und führen Sie auch sämtliche Updates seitens des Geräteherstellers durch. Die fußen zwar nicht immer auf Änderungen von Google, können aber auch wichtige Sicherheitsupdates enthalten. Wie unsere Recherchen übrigens ergaben, sind vor allem Geräte mit Android 4.1 bis 4.4 anfällig für Sicherheitslecks.

Android-Geräte sind übrigens sehr gefährdet, wenn es um Malware geht. Bei uns finden Sie die 10 besten Antivirus-Programme für Android zum eigenen Schutz.

Bietet Ihr Gerätehersteller keine Updates für Ihr Modell mehr an, und trauen Sie sich auch das Aufspielen eines Custom-ROMs nicht zu, folgen Sie den Sicherheitshinweisen in unserer Tabelle, um die bekannten Risiken zu vermeiden. Auch gibt es Apps, die Ihre Mobilgeräte auf viele Sicherheitslücken untersuchen und feststellen, ob sie davon betroffen sind.

GEGEN SCHAD-APPS: GOOGLE PLAY PROTECT

Google selbst bietet mit „Play Protect“ einen Schutzmechanismus gegen Schad-Apps aus dem Play Store. Sie gelangen zu dem Dienst, indem Sie die Play-Store-App und anschließend das Menü über die drei Striche öffnen. Standardmäßig ist der Dienst aktiv: „Play Protect“ scannt alle Apps, die Sie installieren möchten, auf Schadcode. Je nach Untersuchungsergebnis erhalten Sie nach der Installation einer App das OK beziehungsweise eine Warnung von „Play Protect“.

Um sicheres Surfen gegen verseuchte Websites kümmert sich dagegen die Funktion „Saf Browsing“ in Chrome. Sie aktivieren sie in den Chrome-Einstellungen (drei Punkte rechts oben) unter dem Menüpunkt „Datenschutz“. Setzen Sie hier einfach das Häkchen bei „Safe Browsing“.

Lücke und Version CVE-Nummern Auswirkungen Lösung
Freak – Alle Android-Versionen CVE-2015-0204 Über eine angreifbare Open-SSL-Bibliothek in Apps und Browsern können Hacker bei verschlüsselten Webverbindungen per Man-in-the-Middle eine schwache, knackbare Verschlüsselung erzwingen (RSA 512 Bit). Daraufhin lassen sich die von den Apps zu den Servern übertragenen Daten ausspionieren. Sicherheitsupdate der App– und Browserhersteller
Master-Key-Exploit – Geräte mit Android 1.6 und höher CVE-2013-4787 Über das Leck kann Code in der AndroidApp-Installationsdatei manipuliert und so quasi fast jede Applikation in Schadsoftware umgewandelt werden. AndroidUpdate
Stagefright – Geräte mit Android 2.2 bis 5.1.1 CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 Eine präparierte Multimediadatei aus einer MMS kann das Stagefright-Framework durch Pufferüberlauf (eine Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) zum Absturz bringen, was wiederum das Ausführen von bösartigem Programmcode ermöglicht. Automatischen Empfang von MMS deaktivieren, AndroidUpdate
Debugger-SchwachstelleGeräte mit Android 4.0 bis 5.x CVE-2016-2430 Über die Schwachstelle lässt sich ein Denial-of-Service-Angriff ausführen, der zum Absturz des Debuggers führt und Angreifern Zugriff auf den Hauptspeicher des Geräts ermöglicht. AndroidUpdate
Heartbleed – Geräte mit Android 4.1.0 bis 4.2.2 CVE-2014-0160 Ein Fehler in der „Heartbeat“-Funktion von Open-SSL lässt SSL-gesicherte Verbindungen offen, sodass Angreifer darüber Daten aus dem Speicher des Mobilgeräts abgreifen können. Sicherheitsupdate der Gerätehersteller, AndroidUpdate
Androids Webviewlücke – Geräte mit Android 4.3 und älter CVE-2013-4710 Die Webviewfunktion stellt Webinhalte dar und wird auch vom Standard-Google-Browser genutzt. Über diese Sicherheitslücke können Angreifer an Daten des Benutzers gelangen. Chrome oder Firefox statt des Standardbrowsers verwenden
Pufferüberlauf-SchwachstelleGeräte mit Android 4.3 oder älter CVE-2014-3100 Eine Sicherheitslücke im Android Keystore Service, der die Schlüssel zum Ver- und Entschlüsseln verwaltet, kann dazu führen, dass bei einem Pufferüberlauf (einer Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) Speicherbereiche, die außerhalb des erlaubten Bereichs liegen, überschrieben werden. Dann können Angreifer eigenen Code ausführen und damit Zugriff auf gespeicherte Schlüssel und das Gerätepasswort erlangen. AndroidUpdate, Patch für Android 4.4
Installer Hijacking – Geräte mit Android 4.3 oder älter n/a Eine Sicherheitslücke im Android-Installationsdienst Package Installer erlaubt es Angreifern, Malware in bekannte und scheinbar ungefährliche Apps zu schmuggeln. Die Lücke kann jedoch nur in den Installationsroutinen von Apps ausgenutzt werden, die nicht über den Google Play Store sondern über App-Marktplätze von Drittanbietern oder direkt als APK-Installationsdatei heruntergeladen werden. Apps nur aus dem Play Store laden
  Mediaserver-Lücke – Geräte mit Android 4.3 bis 5.1.1 CVE-2015-3842 Über eine Sicherheitslücke im Android-Mediaserver können Angreifer über eine präparierte App oder Website das Smartphone blockieren. Google spricht nur von einer Störung des Mediaplayers. Mediaplayer-App deinstallieren, AndroidUpdate
SE-Linux-Lücke – Geräte mit Android 4.3 bis 5.1 CVE-2014-3153, CVE-2015-3825, CVE-2015-2000, CVE-2015-2001, CVE-2015-2002, CVE-2015-2003, CVE-2015-2004, CVE-2015-2020 Eine manipulierte App kann den Programmcode von Android bearbeiten und darüber beispielsweise Apps austauschen. Die Einschränkungen des SE-Linux-Kernels lassen sich ebenfalls aufheben. Sicherheitsupdate der Gerätehersteller
FDE-Lücke – Geräte ab Android 5 und mit  FDE-verschlüsseltem Speicher, bes. mit Qualcomm-Chips CVE-2016-2431 Bei der Full Disk Encryption (FDE) basiert der auf dem Gerät generierte 128-Bit-Schlüssel auf dem Kennwort des Benutzers. Die Art und Weise der Ablage des Keys auf dem Smartphone könnte Hackern und Regierungen ungewollt Zugriff verschaffen. Die Geräte werden anfällig für Brute-Force-Attacken, bei denen Hacker die Sicherheitsmechanismen der Geräte aushebeln. Sicherheitsupdate
Stagefright 2.0 – Geräte mit Android 5.0 oder höher CVE-2015-3876, CVE-2015-6602 Über speziell präparierte MP3- oder MP4-Dateien lässt sich beliebiger Code einschleusen und ausführen.
Passwortlücke – Geräte mit Android 5.0 bis 5.1.1 CVE-2015-3860 Angreifer können einen sehr langen Code in das Passwortfeld eintippen und dieses über die Kamerafunktion aktivieren. Die vielen Stellen des Passworts sorgen dafür, dass sich die Geräte daran verschlucken und Zugriff auf das Smartphone gewähren. Aktivierung der PIN oder Mustersperre, AndroidUpdate
Quadrooter – Vor allem Geräte mit Snapdragon-CPU und LTE-Modem von Qualcomm CVE-2016-2059, CVE-2016-2503, CVE-2016-2504, CVE-2016-5340 Durch angreifbare Treiber für das LTE-Modem können sich Hacker Root-Zugriff verschaffen. Sicherheitsupdate von Qualcomm
Bitcoin-Lücke – Geräte mit Android Wallet CVE-2015-0800 Die Lücke gefährdet die Sicherheit von Bitcoin-Wallets. Die Schwachstelle liegt im auf Secure Random basierenden Zufallszahlengenerator von Android, auf den zahlreiche Bitcoin-Apps zurückgreifen: Bei Bitcoin-Transaktionen kommt dieser Generator für die Verschlüsselung/Signierung zum Einsatz, da er den privaten Wallet-Schlüssel erstellt. Zum Teil verwendet er jedoch für mehrere Transaktionen denselben Schlüssel. Betrüger könnten diesen Schlüssel herausfinden und Nutzer bestehlen. Sicherheitsupdate der App-Hersteller, Update von AndroidWallet, stattdessen Bitcoin-Wallet verwenden
Certifigate – Geräte mit Fernsteuerungs-Apps wie Teamviewer, Communitake etc. n/a Durch ein fehlerhaftes Zertifikatsmanagement und weitere Schwachstellen seitens der Fernsteuerungs-Apps können sich Angreifer durch präparierte Apps und SMS Zugriff auf das Endgerät verschaffen. Sicherheitsupdate der Apphersteller
Shellshock CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 Eine Lücke in der Unix-Shell Bash wird von Angreifern genutzt, um Webserver anzugreifen. Im Gegensatz zu Android, welches eine andere Shell verwendet, setzt Cyanogenmod auf Bash als Benutzerschnittstelle. Sicherheitsupdate von Cyanogenmod
Bluetooth-Lücke Schad-Apps könnten durch die Lücke Zugriff auf Daten haben, für die sie keine Berechtigung haben. Google-Sicherheitsupdate Juni 2017
Nvidia-Lücke Schad-Apps könnten unbefugt Code ausführen. Google-Sicherheitsupdate Juni 2017
Spectre Die betroffenen Chips setzen eine Technik ein, bei der der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs ausführt, sondern diese so anordnet, dass sie sich schneller abarbeiten lassen. Spectre kann es Apps ermöglichen, geschützte Speicherbereiche auszulesen. Patches der Smartphone– Hersteller
Meltdown Die betroffenen Chips setzen eine Technik ein, bei der der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs ausführt, sondern diese so anordnet, dass sie sich schneller abarbeiten lassen. Das kann Meltdown dazu ausnutzen, um geschützte Speicherbereiche auszulesen. Patches der Smartphone– Hersteller

*Verena Ottmann ist langjährige Redakteurin der PC-WELT


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*