Bedenkliche Schwachstellen in Android Firmware
Die im August in Las Vegas abgehaltene DEF CON Sicherheitskonferenz war erwartungsgemäß voller interessanter Veröffentlichungen. Auch im Bereich der Smart-Mobiltelefone wurden neue Schwachstellen präsentiert.
Sicherheitsforscher der amerikanischen Mobiltelefon- und IoT-Sicherheitsfirma Kryptowire, die die Android-Mobiltelefone unter die Lupe genommen hatten, stellten ihre recht besorgniserregenden Entdeckungen vor: In der Firmware und den Standard-Apps von 25 verschiedenen Android-Smartphone-Modellen wurden etwa 50 unterschiedliche Sicherheitslücken gefunden. Diese Sicherheitslücken bieten Angreifern erschreckend viele Möglichkeiten des Missbrauchs an: DoS-Angriffe, Root-Zugriff, die Erstellung von Screenshots und Videos vom Bildschirm des Mobiltelefons, Versand und Empfang von Kurzmitteilungen, der Zugriff auf Kontaktlisten oder Datenlöschung und sogar das Erzwingen von Installationen beliebiger Drittanbieter-Apps ohne Wissen oder Konsens der Nutzer.
Alle gefundenen Schwachstellen wurden in einer Tabelle detailliert aufgelistet. Manche davon sind einfache Schwachstellen, aber erschreckend viele auf der Liste sind in der Tat schwerwiegende und gefährliche Fehler. Die gefundenen Sicherheitsschwachstellen wurden sowohl in vorinstallierten Apps entdeckt und auch in der Firmware des Gerätetreibers. Solche Installationen können in den meisten Fällen nicht einmal deinstalliert werden. Die Funktionalität des Smartphones wäre dann nicht mehr gewährleistet, in manchen Fällen ginge sogar der komplette Zugriff darauf verloren.
Namhafte Smartphonemarken sind auf der Liste zu finden: Alcatel, Asus, LG, Nokia, Sony und ZTE. Daneben noch eine ganze Reihe Telefone kleinerer und weniger bekannter Hersteller. Einige unter den letztgenannten Herstellern, darunter ZTE sind Wiederholungstäter. Aber insbesondere die beiden kleinen Hersteller Leagoo und Doogee lieferten wirklich besorgniserregende Prüfresultate – die Forscher fanden vorinstallierte Banken-Trojaner! Schon vor zwei Jahren hatten die Kryptowire Forscher einen Backdoor-Mechanismus im von der chinesischen Firma Adups produzierten Software-Update-System FOTA gefunden. Das Firmware-Over-The-Air-System ist Teil der Firmware von Androidtelefonen. Die Forscher stellten fest, dass diese Backdoor immer noch nicht behoben wurde und weiter aktiv ist.
Angelos Stavrou, CEO von Kryptowire sagte in einer Presseerklärung:
„Mit den Hunderten von Mobiltelefonmarken und -modellen auf dem Markt und Tausenden von Firmwareversionen, können selbst die besten manuellen Tests und Auswertungen einfach nicht skaliert werden, um das Problem der Schwachstellenerkennung in vorinstallierten Apps und Firmware zu lösen.“
Stavrou und sein Team von Sicherheitsexperten haben bei der Lösung dieses Problems offenbar nicht locker gelassen. Kryptowire kündigte die Veröffentlichung einer neuen, unternehmensorientierten Plattform zum automatischen Testen der Firmware und Apps von Android-Mobilgeräten an.
Siehe auch:
- Neue mobile Apps mit alten Problemen
- Google behebt Sicherheitslücken in älteren Versionen von Android OS nicht
- Schwere Sicherheitslücke auf 950 Mio. Android-Geräten – gehackt mit einer Textnachricht – Stagefright
- Gefahr in der Lieferkette: Android Handys vor Auslieferung mit Malware infiziert
Artikel in bleepingcomputer.com, 12.08.2018: Vulnerabilities Found in the Firmware of 25 Android Smartphone Models
Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0