47 Schwachstellen bei 25 Modellen

Experten: Diese Android-Smartphones werden mit Lücken geliefert

14.08.2018
Von 
Panagiotis Kolokythas arbeitet seit Juni 2000 für pcwelt.de. Seine Leidenschaft gilt IT-News, die er möglichst schnell und gründlich recherchiert an die Leser weitergeben möchte. Er hat den Überblick über die Entwicklungen in den wichtigsten Tech-Bereichen, entsprechend vielfältig ist das Themenspektrum seiner Artikel: Windows, Soft- und Freeware, Hardware, Smartphones, soziale Netzwerke, Web-Technologien, Smart Home, Gadgets, Drohnen… Er steht regelmäßig für PCWELT.tv vor der Kamera und hat ein eigenes wöchentliches IT-News-Videoformat: Tech-Up Weekly.
Sicherheitsforscher haben insgesamt 47 Schwachstellen in 25 Smartphone-Modellen entdeckt. Diese Modelle sind betroffen.
Sicherheitsforscher: Über 40 Lücken in Firmware von 25 Smartphone-Modellen.
Sicherheitsforscher: Über 40 Lücken in Firmware von 25 Smartphone-Modellen.
Foto: Primakov - shutterstock.com

Sicherheitsforscher von Kryptowire haben auf der Sicherheitskonferenz DEF CON in Las Vegas ihre Analyse der Firmware von 25 Android-Smartphones präsentiert. Insgesamt konnten Sie dabei 47 Schwachstellen entdecken. Millionen von Smartphones kommen damit in einem Zustand auf den Markt, in dem sie kurz nach dem ersten Einschalten bereits angreifbar sind.

Die Gefährlichkeit der Sicherheitslücken unterscheidet sich stark, wie eine Analyse der Sicherheitsberichts von BleepingComputer.com zeigt. Sie können die Geräte zum Absturz bringen oder aber auch einem Angreifer den Root-Zugriff auf das Gerät des Nutzers gewähren. Durch die gefährlicheren Lücken können Angreifer SMS-Nachrichten vom angegriffenen Smartphone empfangen oder senden, Bildschirminhalte abfotografieren oder Videos aufnehmen. Außerdem können sie beliebige Apps auf den Geräten installieren, ohne dass es der Besitzer merkt.

"Mit den Hunderten von Mobiltelefonen und Modellen auf dem Markt und Tausenden von Firmware-Versionen können manuelle Tests und Evaluierungen nicht einfach skaliert werden, um das Problem der Identifizierung von Schwachstellen in vorinstallierten Anwendungen und Firmware für Mobiltelefone zu lösen", heißt es in der Pressemitteilung von Kryptowire.

Finanziert wurde die Analyse von Kryptowire durch das US-Heimatministerium (DHS). Eine Vielzahl der Schwachstellen steckte nicht nur in den vorinstallierten Apps, sondern auch direkt in der Firmware. Letztere lassen sich kaum entfernen. Entlarvt wurden dabei so namhafte Smartphone-Hersteller wie Asus, Nokia, LG, Sony, Alcatel und ZTE. Hinzu kommen kleinere Hersteller, wie Coolpad, Doogee, Essential, Leagoo, MXQ, Oppo, Orbic, SKY, Plum und Vivo.

Auffällig ist, dass einige Hersteller bereits in der Vergangenheit aufgefallen waren, weil sie Smartphones mit Firmware-Schwachstellen ausgeliefert hatte. Dazu gehören etwa ZTE, Leagoo und Doogee.

Konkret hat Kryptowire in folgenden Geräten Schwachstellen entdeckt (entweder in der Firmware und/oder in den vorinstallierten Apps):

  • Alcatel: A30

  • Asus: ZenFone 3 Max, Zenfone V Live

  • Coolpad: Revvl Plus, Canvas, Defiant

  • Doogee : X5

  • Essential : Essential

  • Leagoo : P1, Z5C

  • LG : G6

  • MXQ : TV Box

  • Nokia : 6 TA-1025

  • Oppo : F5

  • Orbic : Wonder

  • Plum : Compass

  • Sky : Elite 6.0L+

  • Sony : Xperia L1

  • Vivo : V7

  • ZTE : ZMAX Pro, ZMAX Champ, Blade Spark, Blade Vantage

(PC-Welt)