Nicht nur Viren und andere Schadsoftware bedrohen Ihr Android-Mobilgerät. Auch das Betriebssystem selbst birgt Gefahren, die Sie Zeit, Geld und Ihre privaten Daten kosten können. Wir sagen Ihnen, was alles auf Sie lauert und wie Sie sich davor schützen können. [...]
Verseuchte Apps, manipulierte Webseiten und Dateien mit Schädlingen – mittlerweile sind die Gefahren für Android–Mobilgeräte fast ebenso mannigfaltig wie für den PC. Hinzu kommt: Nicht nur Gefahren von außen drohen Ihrem Smartphone und Tablet. Auch Android selbst enthält so manche Sicherheitslücke, die findige Hacker ausnutzen können. Im schlimmsten Fall hat das die Konsequenz, dass sich die Angreifer Kontrolle über Ihr Mobilgerät verschaffen, teure SMS verschicken und ihre persönlichen Daten auslesen und weitergeben. Wir haben uns Android ab Version 1.0 angesehen und listen Ihnen alle bekannten Sicherheitslücken in einer Tabelle auf. Darin finden Sie zudem die Auswirkungen und sehen auch, welche Schutzmaßnahmen Sie dagegen ergreifen können. Eine vollständige Liste sämtlicher Sicherheitslücken finden Sie unter http://androidvulnerabilities.org .
Zur besseren Übersicht werden Sicherheitslücken und andere Schwachstellen mit den sogenannten CVE-Nummern versehen (Common Vulnerabilities and Exposures), einem Industriestandard, der von den CVE Numbering Authorities verwaltet wird – das sind verschiedene Sicherheitsexperten und Behörden.
Natürlich versuchen die Gerätehersteller, aber auch Google selbst, die entdeckten Sicherheitslücken mit Updates und Patches zu schließen. Doch mit jeder neuen Betriebssystemversion und jedem Update kommen neue Gefahren.
STAGEFRIGHT UND STAGEFRIGHT 2.0
So wurde beispielsweise im Juli 2015 das Sicherheitsrisiko Stagefright bekannt. Das Stagefright-Framework wird seit Android 2.3 als Standardbibliothek zum Verarbeiten von Multimediadateien genutzt. Durch eine Sicherheitslücke kann eine präparierte Datei das Framework zum Absturz bringen und der resultierende Pufferüberlauf (Flutung zu kleiner Speicherbereiche mit großen Datenmengen) zum Ausführen von Schadcode verwendet werden.
Das im August 2015 von Google veröffentlichte Sicherheitsupdate schloss die Lücke – jedoch nicht vollständig. Zudem wurden im Oktober 2015 weitere Sicherheitsrisiken bekannt („Stagefright 2.0“), die ebenfalls auf das fehlerhafte Framework zurückzuführen waren. Und im Protokoll zum nächsten Sicherheitsupdate im November 2015 waren Hinweise zu finden, dass Google selbst noch zusätzliche, bisher unbekannte Lücken im Framework geschlossen hatte. Mehr zu Googles Sicherheitsservices finden Sie unter http://source.android.com/security/index.html .
SCHUTZ VOR SICHERHEITSLÜCKEN
Wie können Sie Ihr Android–Gerät gegen Sicherheitslücken absichern? Grundsätzlich gilt: Achten Sie darauf, dass Sie die aktuellste Android–Version auf Ihrem Mobilgerät haben, und führen Sie auch sämtliche Updates seitens des Geräteherstellers durch. Die fußen zwar nicht immer auf Änderungen von Google, können aber auch wichtige Sicherheitsupdates enthalten. Wie unsere Recherchen übrigens ergaben, sind vor allem Geräte mit Android 4.1 bis 4.4 anfällig für Sicherheitslecks.
Android-Geräte sind übrigens sehr gefährdet, wenn es um Malware geht. Bei uns finden Sie die 10 besten Antivirus-Programme für Android zum eigenen Schutz.
Bietet Ihr Gerätehersteller keine Updates für Ihr Modell mehr an, und trauen Sie sich auch das Aufspielen eines Custom-ROMs nicht zu, folgen Sie den Sicherheitshinweisen in unserer Tabelle, um die bekannten Risiken zu vermeiden. Auch gibt es Apps, die Ihre Mobilgeräte auf viele Sicherheitslücken untersuchen und feststellen, ob sie davon betroffen sind.
GEGEN SCHAD-APPS: GOOGLE PLAY PROTECT
Google selbst bietet mit „Play Protect“ einen Schutzmechanismus gegen Schad-Apps aus dem Play Store. Sie gelangen zu dem Dienst, indem Sie die Play-Store-App und anschließend das Menü über die drei Striche öffnen. Standardmäßig ist der Dienst aktiv: „Play Protect“ scannt alle Apps, die Sie installieren möchten, auf Schadcode. Je nach Untersuchungsergebnis erhalten Sie nach der Installation einer App das OK beziehungsweise eine Warnung von „Play Protect“.
Um sicheres Surfen gegen verseuchte Websites kümmert sich dagegen die Funktion „Saf Browsing“ in Chrome. Sie aktivieren sie in den Chrome-Einstellungen (drei Punkte rechts oben) unter dem Menüpunkt „Datenschutz“. Setzen Sie hier einfach das Häkchen bei „Safe Browsing“.
| Lücke und Version | CVE-Nummern | Auswirkungen | Lösung |
| Freak – Alle Android-Versionen | CVE-2015-0204 | Über eine angreifbare Open-SSL-Bibliothek in Apps und Browsern können Hacker bei verschlüsselten Webverbindungen per Man-in-the-Middle eine schwache, knackbare Verschlüsselung erzwingen (RSA 512 Bit). Daraufhin lassen sich die von den Apps zu den Servern übertragenen Daten ausspionieren. | Sicherheitsupdate der App– und Browserhersteller |
| Master-Key-Exploit – Geräte mit Android 1.6 und höher | CVE-2013-4787 | Über das Leck kann Code in der Android–App-Installationsdatei manipuliert und so quasi fast jede Applikation in Schadsoftware umgewandelt werden. | Android–Update |
| Stagefright – Geräte mit Android 2.2 bis 5.1.1 | CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829 | Eine präparierte Multimediadatei aus einer MMS kann das Stagefright-Framework durch Pufferüberlauf (eine Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) zum Absturz bringen, was wiederum das Ausführen von bösartigem Programmcode ermöglicht. | Automatischen Empfang von MMS deaktivieren, Android–Update |
| Debugger-Schwachstelle – Geräte mit Android 4.0 bis 5.x | CVE-2016-2430 | Über die Schwachstelle lässt sich ein Denial-of-Service-Angriff ausführen, der zum Absturz des Debuggers führt und Angreifern Zugriff auf den Hauptspeicher des Geräts ermöglicht. | Android–Update |
| Heartbleed – Geräte mit Android 4.1.0 bis 4.2.2 | CVE-2014-0160 | Ein Fehler in der „Heartbeat“-Funktion von Open-SSL lässt SSL-gesicherte Verbindungen offen, sodass Angreifer darüber Daten aus dem Speicher des Mobilgeräts abgreifen können. | Sicherheitsupdate der Gerätehersteller, Android–Update |
| Androids Webviewlücke – Geräte mit Android 4.3 und älter | CVE-2013-4710 | Die Webviewfunktion stellt Webinhalte dar und wird auch vom Standard-Google-Browser genutzt. Über diese Sicherheitslücke können Angreifer an Daten des Benutzers gelangen. | Chrome oder Firefox statt des Standardbrowsers verwenden |
| Pufferüberlauf-Schwachstelle – Geräte mit Android 4.3 oder älter | CVE-2014-3100 | Eine Sicherheitslücke im Android Keystore Service, der die Schlüssel zum Ver- und Entschlüsseln verwaltet, kann dazu führen, dass bei einem Pufferüberlauf (einer Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) Speicherbereiche, die außerhalb des erlaubten Bereichs liegen, überschrieben werden. Dann können Angreifer eigenen Code ausführen und damit Zugriff auf gespeicherte Schlüssel und das Gerätepasswort erlangen. | Android–Update, Patch für Android 4.4 |
| Installer Hijacking – Geräte mit Android 4.3 oder älter | n/a | Eine Sicherheitslücke im Android-Installationsdienst Package Installer erlaubt es Angreifern, Malware in bekannte und scheinbar ungefährliche Apps zu schmuggeln. Die Lücke kann jedoch nur in den Installationsroutinen von Apps ausgenutzt werden, die nicht über den Google Play Store sondern über App-Marktplätze von Drittanbietern oder direkt als APK-Installationsdatei heruntergeladen werden. | Apps nur aus dem Play Store laden |
| Mediaserver-Lücke – Geräte mit Android 4.3 bis 5.1.1 | CVE-2015-3842 | Über eine Sicherheitslücke im Android-Mediaserver können Angreifer über eine präparierte App oder Website das Smartphone blockieren. Google spricht nur von einer Störung des Mediaplayers. | Mediaplayer-App deinstallieren, Android–Update |
| SE-Linux-Lücke – Geräte mit Android 4.3 bis 5.1 | CVE-2014-3153, CVE-2015-3825, CVE-2015-2000, CVE-2015-2001, CVE-2015-2002, CVE-2015-2003, CVE-2015-2004, CVE-2015-2020 | Eine manipulierte App kann den Programmcode von Android bearbeiten und darüber beispielsweise Apps austauschen. Die Einschränkungen des SE-Linux-Kernels lassen sich ebenfalls aufheben. | Sicherheitsupdate der Gerätehersteller |
| FDE-Lücke – Geräte ab Android 5 und mit FDE-verschlüsseltem Speicher, bes. mit Qualcomm-Chips | CVE-2016-2431 | Bei der Full Disk Encryption (FDE) basiert der auf dem Gerät generierte 128-Bit-Schlüssel auf dem Kennwort des Benutzers. Die Art und Weise der Ablage des Keys auf dem Smartphone könnte Hackern und Regierungen ungewollt Zugriff verschaffen. Die Geräte werden anfällig für Brute-Force-Attacken, bei denen Hacker die Sicherheitsmechanismen der Geräte aushebeln. | Sicherheitsupdate |
| Stagefright 2.0 – Geräte mit Android 5.0 oder höher | CVE-2015-3876, CVE-2015-6602 | Über speziell präparierte MP3- oder MP4-Dateien lässt sich beliebiger Code einschleusen und ausführen. | |
| Passwortlücke – Geräte mit Android 5.0 bis 5.1.1 | CVE-2015-3860 | Angreifer können einen sehr langen Code in das Passwortfeld eintippen und dieses über die Kamerafunktion aktivieren. Die vielen Stellen des Passworts sorgen dafür, dass sich die Geräte daran verschlucken und Zugriff auf das Smartphone gewähren. | Aktivierung der PIN oder Mustersperre, Android–Update |
| Quadrooter – Vor allem Geräte mit Snapdragon-CPU und LTE-Modem von Qualcomm | CVE-2016-2059, CVE-2016-2503, CVE-2016-2504, CVE-2016-5340 | Durch angreifbare Treiber für das LTE-Modem können sich Hacker Root-Zugriff verschaffen. | Sicherheitsupdate von Qualcomm |
| Bitcoin-Lücke – Geräte mit Android Wallet | CVE-2015-0800 | Die Lücke gefährdet die Sicherheit von Bitcoin-Wallets. Die Schwachstelle liegt im auf Secure Random basierenden Zufallszahlengenerator von Android, auf den zahlreiche Bitcoin-Apps zurückgreifen: Bei Bitcoin-Transaktionen kommt dieser Generator für die Verschlüsselung/Signierung zum Einsatz, da er den privaten Wallet-Schlüssel erstellt. Zum Teil verwendet er jedoch für mehrere Transaktionen denselben Schlüssel. Betrüger könnten diesen Schlüssel herausfinden und Nutzer bestehlen. | Sicherheitsupdate der App-Hersteller, Update von Android–Wallet, stattdessen Bitcoin-Wallet verwenden |
| Certifigate – Geräte mit Fernsteuerungs-Apps wie Teamviewer, Communitake etc. | n/a | Durch ein fehlerhaftes Zertifikatsmanagement und weitere Schwachstellen seitens der Fernsteuerungs-Apps können sich Angreifer durch präparierte Apps und SMS Zugriff auf das Endgerät verschaffen. | Sicherheitsupdate der Apphersteller |
| Shellshock | CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 | Eine Lücke in der Unix-Shell Bash wird von Angreifern genutzt, um Webserver anzugreifen. Im Gegensatz zu Android, welches eine andere Shell verwendet, setzt Cyanogenmod auf Bash als Benutzerschnittstelle. | Sicherheitsupdate von Cyanogenmod |
| Bluetooth-Lücke | — | Schad-Apps könnten durch die Lücke Zugriff auf Daten haben, für die sie keine Berechtigung haben. | Google-Sicherheitsupdate Juni 2017 |
| Nvidia-Lücke | — | Schad-Apps könnten unbefugt Code ausführen. | Google-Sicherheitsupdate Juni 2017 |
| Spectre | — | Die betroffenen Chips setzen eine Technik ein, bei der der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs ausführt, sondern diese so anordnet, dass sie sich schneller abarbeiten lassen. Spectre kann es Apps ermöglichen, geschützte Speicherbereiche auszulesen. | Patches der Smartphone– Hersteller |
| Meltdown | — | Die betroffenen Chips setzen eine Technik ein, bei der der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs ausführt, sondern diese so anordnet, dass sie sich schneller abarbeiten lassen. Das kann Meltdown dazu ausnutzen, um geschützte Speicherbereiche auszulesen. | Patches der Smartphone– Hersteller |
*Verena Ottmann ist langjährige Redakteurin der PC-WELT
Be the first to comment