Forscher warnen 900 Millionen Android-Geräte haben Sicherheitslücken
Düsseldorf · Eine Schwachstelle in den Betriebsystemen der Android-Tablets und -Smartphones soll es Angreifern erlauben, fremde Geräte fernzusteuern und sogar Daten abzurufen. Eine israelische Sicherheitsfirma spricht von vier Sicherheitslücken.
"Quadrooter" lautet die Bezeichnung des Sicherheitslecks, das sich Kriminelle zunutze machen können, um ein Smartphone oder Tablet zu hacken. Die Software-Sicherheitsfirma "Check Point" hat eine entsprechende Warnung herausgegeben. Demnach soll eine fehlerhafte Treiber-Software für die Schwachstellen verantwortlich sein.
Eine einfache App soll laut den Experten ausreichen, um über eine sogenannte "Root"-Verbindung vollen Zugriff auf fremde Smartphones zu bekommen. Das betroffene System könne dann beliebig verändert werden. Betroffen von der sogenannten Quadrooter-Schwachstelle sind Check Point zufolge einige der beliebtesten Modelle: das BlackBerry Priv, das Blackphone 1 und 2, Googles Nexus 5X, 6 und 6P, das HTC One, M9 und 10, die LG-Modelle G4, G5 und V10, Motorolas New Moto X, One Plus 1, 2 und 3, das Samsung Galaxy S7 und S7 Edge sowie Sonys Xperia Z Ultra.
Der US-Chiphersteller Qualcomm — nach Intel, Samsung und TSMC die Nummer vier der Welt — sei im April über die Lücken informiert worden. Der Konzern selbst habe diese als "hoch riskant" bezeichnet und Abhilfe in Form eines Updates zugesichert. Dieses müsse dann an Smartphone- und Tablet-Hersteller weitergereicht werden, in einem zweiten Schritt würden die Netzbetreiber es den Kunden zur Verfügung gestellt. Genau dies kritisiert Check Point: Der Vorfall mache deutlich, wie anfällig das Android-Sicherheitskonzept sei. "Kritische Updates müssen erst die gesamte Wertschöpfungskette durchlaufen, ehe sie beim Endkunden ankommen. Und dann muss dieser sie auch noch eigenständig installieren, um sein Gerät und die Daten zu sichern."
Google Play Awards - das sind die besten Android-Apps
BSI wiegelt ab
In der Praxis seien die Schwachstellen bislang nicht ausgenutzt worden, so Check Point. Entsprechen gelassen reagierte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Ein Sprecher sagte unserer Redaktion, um die Lücken ausnutzen zu können und Vollzugriff auf das Gerät zu erhalten, müsse eine präparierte App auf dem Endgerät installiert werden: "Zwar ist es unter Umständen möglich, bösartige Apps im Google-Play-Store zu platzieren, durch diese Einschränkung wird Angreifern die Ausnutzung der Schwachstelle aber erheblich erschwert. Ohne entsprechend präparierte App erscheint derzeit keine Ausnutzung möglich."
Das BSI empfiehlt, nur Apps aus dem offiziellen App-Store zu installieren und eine Beschränkung für App-Installationen auf dem Endgerät einzurichten. "Daneben sind nun die Smartphone-Hersteller aufgerufen, möglichst schnell entsprechende Patches bereitzustellen", so der Sprecher. Sobald diese Updates bereitstehen, seien die Nutzer gefordert, sie müssten die Patches noch einspielen.
