Smartphones: HTC und Samsung machen Android unsicherer
Forscher haben in einigen der beliebtesten Android-Smartphones kritische Sicherheitslücken gefunden: Vorinstallierte Apps öffnen Angreifern demnach häufig eine Tür.
© Robert Galbraith/AFP/Getty Images
Googles Nexus One ist im Vergleich zu anderen Android-Smartphones relativ sicher.
Apps für Android-Smartphones werden nicht überprüft, bevor sie in den verschiedenen App Stores landen. Das ist einerseits ein Vorteil, weil es Zensur ausschließt, die es bei Apple immer wieder gibt . Andererseits fehlt den Android-Apps damit ein Test auf Sicherheitslücken. Forscher der North Carolina State University haben nun einen Weg beschrieben , wie Angreifer diesen Umstand nutzen können, um auf fremden Handys teure Premium-SMS zu versenden, Gespräche aufzuzeichnen oder sogar Nutzerdaten zu löschen.
Das Einfallstor ist nicht das Betriebssystem selbst. Das Problem sind die Apps, die Hersteller wie HTC , Samsung oder Motorola vorab installieren, um Android ein eigenes Gesicht zu geben. Solche Apps, die zum Beispiel einen Nutzer über verpasste Anrufe oder SMS informieren, können auf bestimmte Funktionen des Betriebssystems zugreifen. Xuxian Jiang und seine Mitarbeiter haben mit einem selbst entwickelten Programm namens Woodpacker entdeckt, dass diese Apps ihre Rechte weitergeben können, ohne dass der Nutzer davon erfährt.
Wer sich eine Applikation aus dem Android Market oder einem anderen App Store für Android herunterlädt, wird zuvor immer auf Zugriffsrechte hingewiesen, die benötigt werden, damit die App funktioniert. Das kann der Zugriff auf Standortdaten sein, aufs Internet oder auf die Audiofunktionen des Smartphones. Wer einer App diese Rechte nicht einräumen möchte, installiert sie einfach nicht.
Bei vorab installierten Apps gibt es die Frage nach dem Einverständnis des Nutzers allerdings nicht, die Rechte sind von vornherein erteilt. Um Zugriff auf ein fremdes Smartphone zu bekommen, müssten Hacker nun eine App programmieren, die sich diese schon gewährten Rechte gewissermaßen ausleiht. Die Hacker-App selbst kann irgendeine – möglicherweise sogar sinnvolle – Funktion beinhalten; sie muss schließlich so attraktiv sein, dass Nutzer sie haben wollen. Für diese Funktion würden vor dem Download die entsprechenden Zugriffsrechte abgefragt. Im Hintergrund würde die App weitere Zugriffsrechte einholen – bei den vorinstallierten Apps.
Fünf von acht untersuchten Smartphones können laut den Forschern gleich mehrere solcher Zugriffsrechte unbemerkt preisgeben. Besonders anfällig sind demnach die HTC-Modelle Legend, Wildfire S und Evo 4G, Motorolas Droid X und Samsungs Epic 4G. Bei allen HTC-Smartphones wäre es zum Beispiel möglich, teure SMS zu versenden. Das Samsung Epic 4G könnte sogar aus der Ferne auf die Werkseinstellung zurückgesetzt werden.
Vergleichsweise sicher sind dagegen die Modelle, in denen Android nicht oder nur wenig modifiziert wurde. Das sind die Google-Smartphones Nexus One und Nexus S sowie das Motorola Droid .
Die Forscher haben alle Hersteller über die Sicherheitslücken informiert. Bisher haben nur Google und Motorola darauf reagiert und die Schwachstellen eingeräumt.
Besitzer der betroffenen Handymodelle sollten möglichst nur Apps aus dem offiziellen Android Market herunterladen. Auch der ist zwar nicht vollkommen sicher, aber Google reagiert dort recht schnell auf entdeckte Schadsoftware. Außerdem sollten Nutzer vor einem Download zumindest prüfen, wer der Anbieter einer App ist und ob er vertrauenswürdig ist.
Apps von Antivirenherstellern können möglicherweise helfen, Schadsoftware auf dem Gerät zu entdecken. Sobald Updates des Betriebssystems für ein Gerät angeboten werden, sollten Nutzer es durchführen. Und wer sein Smartphone ab und zu unbeobachtet herumliegen lässt, sollte eine Display-Sperre mit PIN oder Passwort einrichten, damit niemand heimlich eine App installieren kann.
etwas knifflig, aber lohnt sich:
altes android runterschmeißen und cyanogenmod (http://www.cyanogenmod.com/) installieren. Seit dem läuft das Motorola Defy zum ersten mal auch nach einem Monat ohne reboot noch flüssig, die GPS-Ortung findet den eigene Standort nach 5 Sekunden nach Aktivierung und dieser ganze Vorinstallierte Spionagekram ist weg. Mit tausend Dank an die Macher!
im prinzip eine gute idee. es ist allerdings ein armutszeugnis für die hersteller, dass man die garantie brechen muss um sein eigentum sicher zu machen.
außerdem musste ich cm7 von meinem sgs runterschmeißen, weil es partout nicht stabil laufen wollte. auch mehrfache neuinstallationen via odin, cwm und rommanager waren hier nicht erfolgreich. ich bin also zurück zu samsung-software, da die weniger instabil lief...
ganz zu schweigen davon, dass man aus der mehrzahl der smartphones tolle briefbeschwerer machen kann, wenn was schiefgeht (beim sgs glücklicherweise sehr schwierig)...
im prinzip eine gute idee. es ist allerdings ein armutszeugnis für die hersteller, dass man die garantie brechen muss um sein eigentum sicher zu machen.
außerdem musste ich cm7 von meinem sgs runterschmeißen, weil es partout nicht stabil laufen wollte. auch mehrfache neuinstallationen via odin, cwm und rommanager waren hier nicht erfolgreich. ich bin also zurück zu samsung-software, da die weniger instabil lief...
ganz zu schweigen davon, dass man aus der mehrzahl der smartphones tolle briefbeschwerer machen kann, wenn was schiefgeht (beim sgs glücklicherweise sehr schwierig)...
den LBE Privacy Guard installieren (https://market.android.co...) und übersichtlich kontrollieren welche Apps was dürfen (gps, sms senden, Zugriff auf Daten, Anrufe tätigen, aufs Internet zugreifen)
...ist dieses Ding hässlich! Haben Hersteller wie Samsung, HTC oder wie sie alle noch so heißen überhaupt richtige "Designer", die das entwickeln oder werden nur irgendwelche Plastikteile mit etwas Hardware zusammengeworfen, was im Ergebnis dann zu einem dieser einfallslosen Gummibrote führt?! Traurig! Erinnert mich fatal an die PC-Welt der 1990er, die nur trist, grau, und billig war...das gleiche nun seit Jahren bei Handys und Smartphones von Nokia/Samsung/HTC & Co....
...außerdem: wer bitte will anfangen, Virenschutzprogramme auf seinem Handy installieren zu müssen?! Das ist doch eine Bankrotterklärung! Und ein weiteres Beispiel für die Unfähigkeit dieser Android-Hersteller, gute Soft- und Hardwareprodukte herzustellen. Die Windows-Welt lässt wieder grüßen! Brrr, da läuft es mir kalt den Rücken runter...
Bitte beteiligen Sie sich mit sachlichen Argumenten. Danke, die Redaktion/mk
[...]
ich finde es gut, dass hier keiner auf ihre Provokationen zur üblichen Plattformdiskussion auf ihrem Niveau eingeht.
Zum Artikel:
Diese Schwachstellen sind natürlich bedenklich,
andererseits haben ausnahmslos alle Systeme Mängel und Lücken.
Gut das darauf stetig aufmerksam gemacht wird!
Da entsteht ein Funke Hoffnung, das Besserung in Sicht ist.
Ich bin im Moment noch mit meinem "unbefreiten" Gerät zufrieden.
Die größten "Sicherheitslücken" sind doch Nutzer, die permanent alle Verbindungen aktiv haben und die es oftmals nicht einmal interessiert, was wann wo und von wem an wen gesendet wird.
Gekürzt. Bedenkliche Kommentare melden Sie bitte unter entsprechender Funktion. Danke, die Redaktion/mk
"...außerdem: wer bitte will anfangen, Virenschutzprogramme auf seinem Handy installieren zu müssen?! Das ist doch eine Bankrotterklärung! Und ein weiteres Beispiel für die Unfähigkeit dieser Android-Hersteller, gute Soft- und Hardwareprodukte herzustellen. Die Windows-Welt lässt wieder grüßen! Brrr, da läuft es mir kalt den Rücken runter..."
Ihr Irrtum ist, dass Smartphones keine Handys sind. Es sind Computer. Diese Computer haben ein weit verbreitetes Betriebssystem, hier Android. Diese weite Verbreitung macht es für Menschen interessant, Viren zu entwickeln. Das ist das gleiche Problem wie bei Windows. Und ein weiteres Problem ist der Nutzer, wer alles runterlädt, was es gibt, der fängt sich auch Schädlinge ein. Dass dann auch Antivirenprogramme kommen ist klar.
Ich schätze mal, dass wir solche Meldungen in Zukunft noch häufiger lesen werden, ähnliches wird ja auch über Apple Apps berichtet (teure In-App Käufe)
[...]
ich finde es gut, dass hier keiner auf ihre Provokationen zur üblichen Plattformdiskussion auf ihrem Niveau eingeht.
Zum Artikel:
Diese Schwachstellen sind natürlich bedenklich,
andererseits haben ausnahmslos alle Systeme Mängel und Lücken.
Gut das darauf stetig aufmerksam gemacht wird!
Da entsteht ein Funke Hoffnung, das Besserung in Sicht ist.
Ich bin im Moment noch mit meinem "unbefreiten" Gerät zufrieden.
Die größten "Sicherheitslücken" sind doch Nutzer, die permanent alle Verbindungen aktiv haben und die es oftmals nicht einmal interessiert, was wann wo und von wem an wen gesendet wird.
Gekürzt. Bedenkliche Kommentare melden Sie bitte unter entsprechender Funktion. Danke, die Redaktion/mk
"...außerdem: wer bitte will anfangen, Virenschutzprogramme auf seinem Handy installieren zu müssen?! Das ist doch eine Bankrotterklärung! Und ein weiteres Beispiel für die Unfähigkeit dieser Android-Hersteller, gute Soft- und Hardwareprodukte herzustellen. Die Windows-Welt lässt wieder grüßen! Brrr, da läuft es mir kalt den Rücken runter..."
Ihr Irrtum ist, dass Smartphones keine Handys sind. Es sind Computer. Diese Computer haben ein weit verbreitetes Betriebssystem, hier Android. Diese weite Verbreitung macht es für Menschen interessant, Viren zu entwickeln. Das ist das gleiche Problem wie bei Windows. Und ein weiteres Problem ist der Nutzer, wer alles runterlädt, was es gibt, der fängt sich auch Schädlinge ein. Dass dann auch Antivirenprogramme kommen ist klar.
Ich schätze mal, dass wir solche Meldungen in Zukunft noch häufiger lesen werden, ähnliches wird ja auch über Apple Apps berichtet (teure In-App Käufe)
im prinzip eine gute idee. es ist allerdings ein armutszeugnis für die hersteller, dass man die garantie brechen muss um sein eigentum sicher zu machen.
außerdem musste ich cm7 von meinem sgs runterschmeißen, weil es partout nicht stabil laufen wollte. auch mehrfache neuinstallationen via odin, cwm und rommanager waren hier nicht erfolgreich. ich bin also zurück zu samsung-software, da die weniger instabil lief...
ganz zu schweigen davon, dass man aus der mehrzahl der smartphones tolle briefbeschwerer machen kann, wenn was schiefgeht (beim sgs glücklicherweise sehr schwierig)...
aber bei Android kann man es zumindest tun. Ich wüsste keinen anderen Hersteller von Smartphonebetriebssystemen, der mir überhaupt so viel Kontrolle zugesteht. (*zwinker)
aber bei Android kann man es zumindest tun. Ich wüsste keinen anderen Hersteller von Smartphonebetriebssystemen, der mir überhaupt so viel Kontrolle zugesteht. (*zwinker)
...aber das ist einfach ein Verlierer-Gerät.
Gibt es da Statistiken, dass (welches Gerät eigentlich?) häufig verloren wird? ;)
Gibt es da Statistiken, dass (welches Gerät eigentlich?) häufig verloren wird? ;)
Gibt es da Statistiken, dass (welches Gerät eigentlich?) häufig verloren wird? ;)
aber bei Android kann man es zumindest tun. Ich wüsste keinen anderen Hersteller von Smartphonebetriebssystemen, der mir überhaupt so viel Kontrolle zugesteht. (*zwinker)
Es gibt da schon ein Betriebssystem, das einem sogar noch mehr Kontrolle zugesteht, ist nur schon so gut wie vergessen: das gute alte Windows Mobile! Wird mich zwar manch einer für auslachen, aber ich nutze es immer noch. Es bietet genauso gute oder auch bessere Oberflächen als Android, ist voll kompatibel zu MS Office, nach allem was ich über Android höre ungefähr genauso zuverlässig, nicht so stark attackiert von Viren und das Beste: Keine Spyware implementiert, das würde das System überfordern! (Deswegen wurde vermutlich ja auch Windows Phone 7 erfunden...) Und es gibt (bzw. gab) Custom-ROMs ohne Ende, eins besser als das Andere, und von jedem halbwegs versierten User zu installieren!
Wirklich schade, dass das ausgetrocknet wurde, aber vermutlich ließ s einfach nicht genug Möglichkeiten für die ganze geheime Hintergrund-Software, die inzwischen auf jedem Smartphone drauf sein muss, ich kann schließlich auf meinem Gerät genau sehen was es gerade macht...
Es gibt da schon ein Betriebssystem, das einem sogar noch mehr Kontrolle zugesteht, ist nur schon so gut wie vergessen: das gute alte Windows Mobile! Wird mich zwar manch einer für auslachen, aber ich nutze es immer noch. Es bietet genauso gute oder auch bessere Oberflächen als Android, ist voll kompatibel zu MS Office, nach allem was ich über Android höre ungefähr genauso zuverlässig, nicht so stark attackiert von Viren und das Beste: Keine Spyware implementiert, das würde das System überfordern! (Deswegen wurde vermutlich ja auch Windows Phone 7 erfunden...) Und es gibt (bzw. gab) Custom-ROMs ohne Ende, eins besser als das Andere, und von jedem halbwegs versierten User zu installieren!
Wirklich schade, dass das ausgetrocknet wurde, aber vermutlich ließ s einfach nicht genug Möglichkeiten für die ganze geheime Hintergrund-Software, die inzwischen auf jedem Smartphone drauf sein muss, ich kann schließlich auf meinem Gerät genau sehen was es gerade macht...
[...]
ich finde es gut, dass hier keiner auf ihre Provokationen zur üblichen Plattformdiskussion auf ihrem Niveau eingeht.
Zum Artikel:
Diese Schwachstellen sind natürlich bedenklich,
andererseits haben ausnahmslos alle Systeme Mängel und Lücken.
Gut das darauf stetig aufmerksam gemacht wird!
Da entsteht ein Funke Hoffnung, das Besserung in Sicht ist.
Ich bin im Moment noch mit meinem "unbefreiten" Gerät zufrieden.
Die größten "Sicherheitslücken" sind doch Nutzer, die permanent alle Verbindungen aktiv haben und die es oftmals nicht einmal interessiert, was wann wo und von wem an wen gesendet wird.
Gekürzt. Bedenkliche Kommentare melden Sie bitte unter entsprechender Funktion. Danke, die Redaktion/mk
Bitte melden Sie sich an, um zu kommentieren