Die Mutter aller Sicherheitslücken

Dass man Updates einspielen soll, weiß heute jedes Kind. Dass das manchmal nervt, auch. Viele wissen aber nicht, dass manche Updates gar nicht alle User bekommen dürfen – obwohl sie eigentlich verfügbar sind.

In den letzten Tagen sind zwei massive Sicherheitslücken für Android Smartphones bekannt geworden mit denen ein Angreifer vollen Zugriff auf das Gerät bekommt. Auf die Kamera, die Nachrichten, einfach alles. Diese Lücken sind seit Version 4.0 (also seit 2011) im System und betreffen daher sage und schreibe 94% und somit fast 1 Milliarde Smartphones.

Das Android-Konsortium unter der Leitung von Google hat zwar schnell reagiert und einen Bugfix bereitgestellt, aber: Den wird nicht jeder bekommen. Es gibt also quasi den passenden Verbandkasten für eine Verletzung – der ist aber verschlossen. Der Grund: Android läuft auf Geräten diverser Hersteller: Samsung, HTC, LG, Motorola und diversen Noname-Anbietern. Nicht Android (bzw Google) ist daher gemäß Lizenzvereinbarung dafür verantwortlich, die Patches bereitzustellen. Es sind die Hardwarehersteller, die das für ihre eigenen Geräte tun müssen.

Nun muss so ein Update für jedes einzelne Modell erstellt, getestet und verteilt werden. Das kostet – und so wird jede Firma abwägen, welche Geräte es noch wert sind. So werden sich – wie bereits in der Vergangenheit geschehen – einige Hersteller gegen Updates einiger Geräte entscheiden. Insbesondere Billiggeräte der Noname-Hersteller werden daher für immer anfällig bleiben. Ebenso aber auch „ältere“ Smartphones der großen Anbieter. Das Samsung S3 zum Beispiel wird heute noch per Fernsehwerbung als günstige Alternative angeboten – laut Samsung wird es dafür aber kein Update geben.

Bei einer der aktuellen Lücken reicht es, die Handynummer des Opfer zu kennen und diesem eine MMS zu schicken. Stagefright heißt dieser Bug und er wird als die „Mutter aller Android-Lücken“ bezeichnet.

Angry housewife on a white backgroundDie Sicherheitsfirma Trend Micro hat kurz darauf eine zweite Lücke beschrieben. Bei der braucht man nicht einmal die Telefonnummer des Opfers. Es genügt, dass der Benutzer ein manipuliertes Video auf einer Webseite wie YouTube ansieht. Das macht jeder! Die Lücke ist also noch schlimmer! Das ist nicht die „Mutter aller Lücken“, nein, das ist die „Schwiegermutter aller Lücken“.


Bildnachweis: fotolia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.