Eine neue Sicherheitslücke macht etliche Android-Smartphones angreifbar.

Android-Lücke gibt Angreifern volle Kontrolle über Smartphone – das steckt dahinter

Eine bislang unbekannte Android-Sicherheitslücke macht zahlreiche Smartphones angreifbar: Darunter Samsungs Galaxy S7, S8 und S9, das Huawei P20 und ältere Google-Pixel-Geräte. Grund zur Panik besteht dennoch nicht.

Derzeit klafft eine potenziell gefährliche Sicherheitslücke in zahlreichen Android-Smartphones. Das berichteten Ende letzter Woche Googles Sicherheitsspezialisten von «Project Zero». Die Lücke erlaube es Angreifern, die volle Kontrolle über das betroffene Smartphone zu erlangen, schreiben die IT-Experten. Hierzu müssen sie das Opfer dazu bringen, eine manipulierte App zu installieren oder sie versuchen einen Online-Angriff, der in Kombination mit einer weiteren Lücke in Chrome Erfolg verspricht.

Allerdings betrifft das Problem nur bestimmte Android-Smartphones. Gegenüber dem IT-Portal Ars Technica erklärte ein Mitglied von Project Zero, dass mindestens 18 verschiedene Modelle betroffen seien.

Eine nicht-abschliessende Liste betroffener Geräte:

Samsung S7
Samsung S8
Samsung S9
Huawei P20
Pixel 1
Pixel 1 XL
Pixel 2
Pixel 2 XL
Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi A1
Oppo A3
Moto Z3
Oreo LG phones

Project Zero informierte das Android-Team

Googles Project Zero gibt den Software-Entwicklern – egal ob Apple, Microsoft oder das eigene Android-Team – in der Regel 90 Tage Zeit für ein Sicherheitsupdate, bevor sie gefundene Lücken publik machen. In diesem Fall hat Project Zero dem Android-Team nur sieben Tage Zeit gewährt, weil die Lücke bereits aktiv ausgenutzt worden ist.

Google hat die Lücke geschossen, aber...

Auf Nachfrage von Ars Technica gab Google an, die Lücke mit dem Oktober-Sicherheitsupdate für die betroffenen Pixel-Geräte zu schliessen – was übers Wochende bereits passiert ist. Den entsprechenden Patch habe man auch den anderen Smartphone-Herstellern zur Verfügung gestellt, damit diese ihre Geräte ebenfalls absichern können. Wann genau die anderen Hersteller ihrerseits die Lücke schliessen, dürfte sehr unterschiedlich sein.

Schnell reagiert hat Samsung und den Oktober-Sicherheitspatch für gewisse Modelle wie das Galaxy S10 5G übers Wochende praktisch zeitgleich mit Google verteilt.

Mit dem Sicherheitspatch für Oktober 2019 wird die Lücke geschlossen. Samsung hat bereits reagiert. screenshot: watson

Gefahr für Öffentlichkeit nur mässig?

Die Lücke war bislang nicht öffentlich, wurde laut Project Zero allerdings bereits ausgenutzt. Trotzdem sei die Gefahr für den Durchschnittsnutzer vermutlich überschaubar, da es sich um einen sogenannten «Zero-Day-Exploit» handelt. So werden automatisierte Angriffe genannt, die bereits seit geraumer Zeit unauffällig, aber meist nur sehr selektiv gegen bestimmte Personen eingesetzt werden. Etwa gegen hochrangige Politiker, Manager oder Aktivisten, die Regierungen ein Dorn im Auge sind.

Das Tech-Magazin ArsTechnica kommt daher zu der Einschätzung, dass Besitzer gefährdeter Android-Geräte nicht in Panik verfallen sollten. Die Chance, Ziel der beschriebenen Angriffe zu werden, sei extrem gering.

In der Regel haben es die Nutzer von teuren Zero-Day-Exploits (z.B. Geheimdienste) nicht auf den Durchschnittsnutzer abgesehen. Sie versuchen breit angelegte Angriffe zu vermeiden und ihre Schadsoftware nur gezielt anzuwenden. Denn: Sobald Sicherheitsunternehmen auf die Malware aufmerksam werden, dauert es nicht lange, bis die Schwachstelle von Softwarefirmen wie Google, Apple und Microsoft geschlossen wird.

Sicherheitslücke für Geheimdienste

Zero-Day-Exploits sind sehr wertvoll, da etwa Geheimdienste viel Geld dafür bezahlen, eine solche Sicherheitslücke möglichst lange ausnutzen zu können, ohne dass sie bekannt und in der Folge geschlossen wird.

Die Experten von Project Zero gehen davon aus, dass die Angriffsmethode von der berüchtigten israelischen Firma NSO Group entwickelt und an staatliche Behörden verkauft wurde. NSO dementiert dies. Die NSO Group ist ein Technologieunternehmen, das üblicherweise mit Staaten und Geheimdiensten zusammenarbeitet, etwa um iOS- oder Android-Smartphones zu knacken.

Ein Zero Day Exploit gilt als besonders wertvolle Waffe, weil die Angriffsmethode (die Ausnutzung einer Schwachstelle) weder dem Hersteller noch den Sicherheitsfirmen bekannt ist und weil es darum keine Schutzmassnahmen gibt. Den Software-Herstellern bleiben bei Bekanntwerden null Tage Zeit («Zero Days»), die Softwarelücke zu schliessen, bevor effektiv Gefahr für die breite Masse der Anwender entsteht. Denn ist ein Zero Day Exploit erstmal öffentlich bekannt, ist es nur eine Frage von Tagen oder Wochen, bis er von gewöhnlichen Kriminellen für grossflächige Online-Angriffe eingesetzt wird.

Bis der eigene Smartphone-Hersteller das Oktober-Sicherheitsupdate verteilt hat, rät Project Zero dazu, möglichst keine Apps von ausserhalb des Google Play Stores zu installieren.

(oli/t-online.de)

Sieben eindrückliche Hacker-Attacken

2014 wurden private Fotos – vor allem Nacktbilder – von über 100 Prominenten im Netz veröffentlicht, die von Apples Online-Speicher iCloud gestohlen wurden. Auch Jennifer Lawrence war davon betroffen. Jordan Strauss/Invision/AP/Invision / Jordan Strauss

Ihre Kollegin Kaley Cuoco aus «The Big Bang Theory» nahm den Hack mit Humor und veröffentlichte selbst ein stark verpixeltes Bild von sich und ihrem Mann.

Spass-Hacker: Laut einschlägigen Hackerforen braucht man keinen Doktortitel in Informatik, um Verkehrsschilder zu hacken. Diese seien in gewissen Ländern nur minimal gesichert. Der Spass kann leider tödliche Folgen haben.

Staatliche Hacker: Ein ganz anderes Kaliber ist der Computerwurm, der im Juni 2010 entdeckt wurde: Eine mächtige Cyberwaffe, um Industrieanlagen zu sabotieren. Vermutlich haben die USA und/oder Israel so iranische Atomreaktoren lahmgelegt.

Industrie-Hacker: Unter dem Namen «Operation Aurora» wurde Ende 2009 ein massiver Angriff chinesischer Hacker auf mehr als 30 westliche Grossunternehmen wie Google, Adobe und Yahoo bekannt. Dabei wurden Firmengeheimnisse gestohlen.

Journalisten als Hacker: Die britische Zeitung «News of the World» hörte über Jahre Gespräche von Tausenden Prominenten und Politikern ab, indem sich die Journalisten illegal Zugang zu Handy-Mailboxen verschafften.

Die Hackergruppe GOP verschaffte sich Ende 2014 Zugriff auf Sonys Computersysteme. Die Hacker erbeuteten Lohnabrechnungen, Arztzeugnisse, E-Mails sowie unveröffentlichte Filme und Drehbücher. Der Sony-Hack ist der vermutlich umfassendste Firmenhack, der je bekannt geworden ist.

Bei einem Hackerangriff auf das Playstation-Netzwerk (PSN) von Sony sind im April 2011 Daten von mehr als 70 Millionen Nutzern gestohlen worden. Der PSN-Hack ist einer der grössten Datendiebstähle überhaupt. Nach dem Hack war das Multiplayer-Netzwerk mehrere Wochen offline.