Android-Smartphones kommen mit vorinstallierten Sicherheitslücken
Auf Smartphones von Sony, Nokia, Vivo, Oppo, Asus, LG, Essential, Coolpad, Alcatel und ZTE wurden Sicherheitslücken gefunden, die sich tief in der Firmware befinden. Alle untersuchten Geräte wurden in den USA von den großen Mobilfunkanbietern angeboten. Eine Liste, welche Geräte konkret betroffen sind und was die Sicherheitslücken auf den jeweiligen Smartphones anrichten können, ist auf der Website der Sicherheitsforscher zu finden.
Unter Ausnutzung dieser Lücken können Angreifer unter anderem das Smartphone komplett übernehmen und sogar den Nutzer aussperren. Auch sei es möglich Screenshots und Videos vom Bildschirm anzufertigen, GPS-Informationen auszulesen oder Kamera und Mikrofon zu aktivieren.
Gefunden wurden die Schwachstellen von Sicherheitsforschern vom IT-Unternehmen Kryptowire. Die Ergebnisse ihrer Studie, die vom US-Ministerium für Homeland Security finanziert wurde, sind auf der Black Hat Konferenz in Las Vegas präsentiert wurden.
Viele Köche verderben den Brei
Das Problem liege vor allem daran, dass bei den Hersteller-spezifischen Android-Versionen viele verschiedene Stakeholder mitmischen. "In der langen Lieferkette wollen viele Beteiligten ihren eigenen Code hinzufügen, Anwendungen vorinstallieren und das Betriebssystem anpassen", sagt Kryptowire-CEO Angelos Stavrou. Daher werde das Problem auch nicht so schnell verschwinden. Es sei auch extrem schwierig, diese Sicherheitslücken zu finden, da sie sich meist sehr tief in der Firmware verstecken.
Um die gefundenen Sicherheitslücken ausnutzen zu können, sei bei den meisten Schwachstellen die Installation bestimmter Apps notwendig. Die Sicherheitsforscher raten daher, keine unbekannten Apps zu installieren, die nicht aus dem offiziellen Google Play Store stammen.
Die betroffenen Smartphone-Hersteller sind von den Hackern kontaktiert worden. Alle haben versprochen, die Sicherheitslücken mithilfe von Updates zu stopfen.