Android 4.3 bis 5.1

Jedes zweite Android-System unsicher

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Eine Sicherheitslücke in Androids OpenSSL-X.509-Zertfikatklasse sorgt dafür, dass 55 Prozent aller Android-Handys leicht angreifbar sind. Betroffen sind die Systemversionen 4.3 bis 5.1 sowie Android M.

Sicherheitsforscher von IBM X-Force weisen darauf hin, dass sich Angreifer mithilfe scheinbar harmloser Anwendungen - wie einem Spiel oder einer Taschenlampen-App - umfangreiche Zugriffsrechte auf dem Android-System erschleichen können. Bei deren Installation muss der Anwender zunächst keine besonderen Zugriffsrechte erteilen - durch die Lücke im Zertifikatssystem werden die Rechte der Apps aber im Hintergrund trotzdem erweitert und die Anwendungen damit zu sogenannten "Super-Apps" mit fast vollem Zugriff auf das System. Diese manipulieren den Android-Kernel, tauschen Apps aus und führen Shell-Befehle aus, um Nutzerdaten auszuspähen.

Unter dem Titel "One Class to rule them all" hat das IBM-Forscherteam ein Paper und ein Video veröffentlicht, in dem es die Lücke in der OpenSSL-X.509-Zertifikatklasse und das verwendete Angriffsmuster detailliert beschreiben. Die Zertifikatklasse dient unter anderem dazu, Apps den Zugriff auf Netzwerke oder die Kamerafunktionen in Smartphones zu gewähren.

Ein ähnliches Angriffsmuster war erst kürzlich im Zusammenhang mit dem Hacking-Team-Angriff bekannt geworden. Dort wurde eine gefakte News-App namens BeNews entwickelt, um die Filterregeln des Google Play Stores zu umgehen, um sich umfangreiche Zugriffsrechte auf dem Nutzersystem zu verschaffen und unbemerkt Schadcode nachzuladen, der dann eine schwere Sicherheitslücke ausnutzte.

Bevor alle Android-Nutzer nun in Panik verfallen, lesen Sie bitte noch folgende persönliche Einschätzung...

Kommentar: Ruhig Blut!

CW-Redakteur Simon Hülsbömer mahnt zur Gelassenheit.
CW-Redakteur Simon Hülsbömer mahnt zur Gelassenheit.

Wann haben Sie das letzte Mal ruhigen Gewissens Ihr Android-Smartphone benutzt? Es ist doch klar, dass dieses halbwegs offene System, das dazu eine große Verbreitung besitzt, Cyberkriminelle geradezu einlädt. Lücke hier, Lücke da - ich kann da nur noch müde lächeln. Das Beste ist, überhaupt keine Apps (schon gar nicht solche aus unbekannten Quellen) zu installieren, die nicht unbedingt notwendig sind und nicht schon einen gewissen Ruf, sprich gewisse Zahl an vertrauenswürdigen Nutzern, besitzen - seien es Bekannte, Verwandte, Freunde oder Kollegen oder zumindest "digitale Freunde". Absolute Sicherheit bringt das selbstredend auch nicht (um eine ausgelutschte Phrase aus der IT-Security-Branche zu bedienen) - aber manchmal habe ich schon den Eindruck, dass jede ach so kleine Lücke hochgehyped wird, als wäre sie das Ende der Welt. Einfach locker bleiben und nicht jeden Mist sofort installieren, dann geht der Kelch oftmals vorüber. Gesunden Menschenverstand einschalten, zeitnah Sicherheitsupdates installieren und dann mit offenen Augen durch die digitale Welt gehen.

 

Rainer dorsch

Zu Platz 1 der beliebtesten APPs (lt. download Google-Store):
Der WhatsApp-Messenger ist nicht kostenlos! (es ist eine Jahresgebühr zu entrichten, wissen vermutlich die meisten Menschen nicht, da sie es nicht bemerken)
Die App ist nicht nur für Android,Apple(iPhone), BlackBerry verfügbar, es gibt die App auch für Windows-Mobile. :-))

comments powered by Disqus