2244448

Android-Sicherheitslücken: So schützen Sie sich

13.08.2017 | 09:09 Uhr |

Nicht nur Viren und andere Schadsoftware bedrohen Ihr Android-Mobilgerät. Auch das Betriebssystem selbst birgt Gefahren, die Sie Zeit, Geld und Ihre privaten Daten kosten können. Wir sagen Ihnen, was alles auf Sie lauert und wie Sie sich davor schützen können.

Verseuchte Apps, manipulierte Webseiten und Dateien mit Schädlingen – mittlerweile sind die Gefahren für Android-Mobilgeräte fast ebenso mannigfaltig wie für den PC. Hinzu kommt: Nicht nur Gefahren von außen drohen Ihrem Smartphone und Tablet. Auch Android selbst enthält so manche Sicherheitslücke, die findige Hacker ausnutzen können. Im schlimmsten Fall hat das die Konsequenz, dass sich die Angreifer Kontrolle über Ihr Mobilgerät verschaffen, teure SMS verschicken und ihre persönlichen Daten auslesen und weitergeben. Wir haben uns Android ab Version 1.0 angesehen und listen Ihnen alle bekannten Sicherheitslücken in einer Tabelle auf. Darin finden Sie zudem die Auswirkungen und sehen auch, welche Schutzmaßnahmen Sie dagegen ergreifen können. Eine vollständige Liste sämtlicher Sicherheitslücken finden Sie unter http://androidvulnerabilities.org .

Zur besseren Übersicht werden Sicherheitslücken und andere Schwachstellen mit den sogenannten CVE-Nummern versehen (Common Vulnerabilities and Exposures), einem Industriestandard, der von den CVE Numbering Authorities verwaltet wird – das sind verschiedene Sicherheitsexperten und Behörden.

Natürlich versuchen die Gerätehersteller, aber auch Google selbst, die entdeckten Sicherheitslücken mit Updates und Patches zu schließen. Doch mit jeder neuen Betriebssystemversion und jedem Update kommen neue Gefahren.

Siehe auch: Experten warnen vor Android-App Airdroid

Stagefright und Stagefright 2.0

So wurde beispielsweise im Juli 2015 das Sicherheitsrisiko Stagefright bekannt. Das Stagefright-Framework wird seit Android 2.3 als Standardbibliothek zum Verarbeiten von Multimediadateien genutzt. Durch eine Sicherheitslücke kann eine präparierte Datei das Framework zum Absturz bringen und der resultierende Pufferüberlauf (Flutung zu kleiner Speicherbereiche mit großen Datenmengen) zum Ausführen von Schadcode verwendet werden.

Das im August 2015 von Google veröffentlichte Sicherheitsupdate schloss die Lücke – jedoch nicht vollständig. Zudem wurden im Oktober 2015 weitere Sicherheitsrisiken bekannt („Stagefright 2.0“), die ebenfalls auf das fehlerhafte Framework zurückzuführen waren. Und im Protokoll zum nächsten Sicherheitsupdate im November 2015 waren Hinweise zu finden, dass Google selbst noch zusätzliche, bisher unbekannte Lücken im Framework geschlossen hatte. Mehr zu Googles Sicherheitsservices finden Sie unter http://source.android.com/security/index.html .

Smartphone-Sicherheit: Passwort für Android-Apps vergeben

Schutz vor Sicherheitslücken

Wie können Sie Ihr Android-Gerät gegen Sicherheitslücken absichern? Grundsätzlich gilt: Achten Sie darauf, dass Sie die aktuellste Android-Version auf Ihrem Mobilgerät haben, und führen Sie auch sämtliche Updates seitens des Geräteherstellers durch. Die fußen zwar nicht immer auf Änderungen von Google, können aber auch wichtige Sicherheitsupdates enthalten. Wie unsere Recherchen übrigens ergaben, sind vor allem Geräte mit Android 4.1 bis 4.4 anfällig für Sicherheitslecks.

Bietet Ihr Gerätehersteller keine Updates für Ihr Modell mehr an, und trauen Sie sich auch das Aufspielen eines Custom-ROMs nicht zu, folgen Sie den Sicherheitshinweisen in unserer Tabelle, um die bekannten Risiken zu vermeiden. Auch gibt es Apps, die Ihre Mobilgeräte auf viele Sicherheitslücken untersuchen und feststellen, ob sie davon betroffen sind.

Lücke und Version

CVE-Nummern

Auswirkungen

Lösung

Freak - Alle Android-Versionen

CVE-2015-0204

Über eine angreifbare Open-SSL-Bibliothek in Apps und Browsern können Hacker bei verschlüsselten Webverbindungen per Man-in-the-Middle eine schwache, knackbare Verschlüsselung erzwingen (RSA 512 Bit). Daraufhin lassen sich die von den Apps zu den Servern übertragenen Daten ausspionieren.

Sicherheitsupdate der App- und Browserhersteller

Master-Key-Exploit - Geräte mit Android 1.6 und höher

CVE-2013-4787

Über das Leck kann Code in der Android-App-Installationsdatei manipuliert und so quasi fast jede Applikation in Schadsoftware umgewandelt werden.

Android-Update

Stagefright - Geräte mit Android 2.2 bis 5.1.1

CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829

Eine präparierte Multimediadatei aus einer MMS kann das Stagefright-Framework durch Pufferüberlauf (eine Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) zum Absturz bringen, was wiederum das Ausführen von bösartigem Programmcode ermöglicht.

Automatischen Empfang von MMS deaktivieren, Android-Update

Debugger-Schwachstelle - Geräte mit Android 4.0 bis 5.x

CVE-2016-2430

Über die Schwachstelle lässt sich ein Denial-of-Service-Angriff ausführen, der zum Absturz des Debuggers führt und Angreifern Zugriff auf den Hauptspeicher des Geräts ermöglicht.

Android-Update

Heartbleed - Geräte mit Android 4.1.0 bis 4.2.2

CVE-2014-0160

Ein Fehler in der „Heartbeat“-Funktion von Open-SSL lässt SSL-gesicherte Verbindungen offen, sodass Angreifer darüber Daten aus dem Speicher des Mobilgeräts abgreifen können.

Sicherheitsupdate der Gerätehersteller, Android-Update

Androids Webviewlücke - Geräte mit Android 4.3 und älter

CVE-2013-4710

Die Webviewfunktion stellt Webinhalte dar und wird auch vom Standard-Google-Browser genutzt. Über diese Sicherheitslücke können Angreifer an Daten des Benutzers gelangen.

Chrome oder Firefox statt des Standardbrowsers verwenden

Pufferüberlauf-Schwachstelle - Geräte mit Android 4.3 oder älter

CVE-2014-3100

Eine Sicherheitslücke im Android Keystore Service, der die Schlüssel zum Ver- und Entschlüsseln verwaltet, kann dazu führen, dass bei einem Pufferüberlauf (einer Flutung eines zu kleinen Speicherbereichs mit zu großen Datenmengen) Speicherbereiche, die außerhalb des erlaubten Bereichs liegen, überschrieben werden. Dann können Angreifer eigenen Code ausführen und damit Zugriff auf gespeicherte Schlüssel und das Gerätepasswort erlangen.

Android-Update, Patch für Android 4.4

Installer Hijacking - Geräte mit Android 4.3 oder älter

n/a

Eine Sicherheitslücke im Android-Installationsdienst Package Installer erlaubt es Angreifern, Malware in bekannte und scheinbar ungefährliche Apps zu schmuggeln. Die Lücke kann jedoch nur in den Installationsroutinen von Apps ausgenutzt werden, die nicht über den Google Play Store sondern über App-Marktplätze von Drittanbietern oder direkt als APK-Installationsdatei heruntergeladen werden.

Apps nur aus dem Play Store laden

  Mediaserver-Lücke - Geräte mit Android 4.3 bis 5.1.1

CVE-2015-3842

Über eine Sicherheitslücke im Android-Mediaserver können Angreifer über eine präparierte App oder Website das Smartphone blockieren. Google spricht nur von einer Störung des Mediaplayers.

Mediaplayer-App deinstallieren, Android-Update

SE-Linux-Lücke - Geräte mit Android 4.3 bis 5.1

CVE-2014-3153, CVE-2015-3825, CVE-2015-2000, CVE-2015-2001, CVE-2015-2002, CVE-2015-2003, CVE-2015-2004, CVE-2015-2020

Eine manipulierte App kann den Programmcode von Android bearbeiten und darüber beispielsweise Apps austauschen. Die Einschränkungen des SE-Linux-Kernels lassen sich ebenfalls aufheben.

Sicherheitsupdate der Gerätehersteller

FDE-Lücke - Geräte ab Android 5 und mit  FDE-verschlüsseltem Speicher, bes. mit Qualcomm-Chips  

CVE-2016-2431

Bei der Full Disk Encryption (FDE) basiert der auf dem Gerät generierte 128-Bit-Schlüssel auf dem Kennwort des Benutzers. Die Art und Weise der Ablage des Keys auf dem Smartphone könnte Hackern und Regierungen ungewollt Zugriff verschaffen. Die Geräte werden anfällig für Brute-Force-Attacken, bei denen Hacker die Sicherheitsmechanismen der Geräte aushebeln.

Sicherheitsupdate

Stagefright 2.0 - Geräte mit Android 5.0 oder höher

CVE-2015-3876, CVE-2015-6602

Über speziell präparierte MP3- oder MP4-Dateien lässt sich beliebiger Code einschleusen und ausführen.

Passwortlücke - Geräte mit Android 5.0 bis 5.1.1

CVE-2015-3860

Angreifer können einen sehr langen Code in das Passwortfeld eintippen und dieses über die Kamerafunktion aktivieren. Die vielen Stellen des Passworts sorgen dafür, dass sich die Geräte daran verschlucken und Zugriff auf das Smartphone gewähren.

Aktivierung der PIN oder Mustersperre, Android-Update

Quadrooter - Vor allem Geräte mit Snapdragon-CPU und LTE-Modem von Qualcomm

CVE-2016-2059, CVE-2016-2503, CVE-2016-2504, CVE-2016-5340

Durch angreifbare Treiber für das LTE-Modem können sich Hacker Root-Zugriff verschaffen.

Sicherheitsupdate von Qualcomm

Bitcoin-Lücke - Geräte mit Android Wallet

CVE-2015-0800

Die Lücke gefährdet die Sicherheit von Bitcoin-Wallets. Die Schwachstelle liegt im auf Secure Random basierenden Zufallszahlengenerator von Android, auf den zahlreiche Bitcoin-Apps zurückgreifen: Bei Bitcoin-Transaktionen kommt dieser Generator für die Verschlüsselung/Signierung zum Einsatz, da er den privaten Wallet-Schlüssel erstellt. Zum Teil verwendet er jedoch für mehrere Transaktionen denselben Schlüssel. Betrüger könnten diesen Schlüssel herausfinden und Nutzer bestehlen.

Sicherheitsupdate der App-Hersteller, Update von Android-Wallet, stattdessen Bitcoin-Wallet verwenden

Certifigate - Geräte mit Fernsteuerungs-Apps wie Teamviewer, Communitake etc.

n/a

Durch ein fehlerhaftes Zertifikatsmanagement und weitere Schwachstellen seitens der Fernsteuerungs-Apps können sich Angreifer durch präparierte Apps und SMS Zugriff auf das Endgerät verschaffen.

Sicherheitsupdate der Apphersteller

Shellshock

CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187

Eine Lücke in der Unix-Shell Bash wird von Angreifern genutzt, um Webserver anzugreifen. Im Gegensatz zu Android, welches eine andere Shell verwendet, setzt Cyanogenmod auf Bash als Benutzerschnittstelle.

Sicherheitsupdate von Cyanogenmod

0 Kommentare zu diesem Artikel
2244448