17.11.2019 18:49 |

Asus, Samsung & Co.

Frisch gekaufte Handys voller Sicherheitslücken

Wer ein Android-Handy kauft, muss davon ausgehen, dass es ab Werk voller Sicherheitslücken ist. Zu diesem Schluss kommt ein von der US-Regierung beauftragtes IT-Security-Unternehmen, das sich Smartphones Dutzender Hersteller angesehen und dabei fast 150 Schwachstellen entdeckt hat. Grund für die Schlupflöcher ist, dass die Hersteller das Betriebssystem häufig stark anpassen und mit eigener oder Dritthersteller-Software anreichern - sogenannter „Bloatware“. Bei den großen internationalen Marken gibt es Rüffel für Asus und Samsung.

Wer sich heute ein Android-Smartphone kauft, findet darauf in den seltensten Fällen ein Original-Android von Google. Solche Geräte tragen das Android-One-Label und sind eher rar. In den meisten Fällen findet der Nutzer auf einem neu gekauften Smartphone stattdessen ein vom Gerätehersteller an die eigenen Vorlieben angepasstes und meist noch mit etlichen Hersteller- oder gar Mobilfunker-Apps angereichertes System vor. In der IT-Szene spricht man von „Bloatware“ - also unnötig aufgeblähter Software mit Dreingaben, die der Käufer eigentlich nicht will.

146 Lücken bei 29 Herstellern entdeckt
Das ist für den User nicht nur lästig, sondern laut einer Analyse des IT-Sicherheitsunternehmens Kryptowire im Auftrag des US-Heimatschutzes auch gefährlich. Die Firma hat eine Liste von 146 Sicherheitslücken in der Software von 29 Herstellern von Android-Smartphones veröffentlicht, über die Angreifer die Geräte schlimmstenfalls zur Wanze machen können. Das Mikrofon einschalten, im Hintergrund Code ausführen, die Netzwerkeinstellungen modifizieren - laut Kryptowire sind modifizierte Android-Installationen ein gefundenes Fressen für Hacker.

Auch Branchengrößen wie Samsung löchrig
Das Unternehmen hat vor allem weniger bekannte Marken aus Asien als Übeltäter identifiziert. Aber auch Branchengrößen wie Asus oder Samsung, seines Zeichens Smartphone-Weltmarktführer, sind in der Kryptowire-Liste zu finden. In einigen Fällen wollen die Hersteller die Schwachstellen nicht als Sicherheitslücken anerkennen, auch die Schwere der Lücken variiert. Trotzdem zeigt die Entdeckung, dass die Hersteller offenbar bereitwillig die Sicherheit ihrer Kunden opfern, um mit eigener Software Kasse zu machen. Dafür werden etwa hauseigene App Stores eingebaut und beispielsweise Hotelbuchungs-Apps gegen Gebühr vom Hersteller vorinstalliert.

„Der Nutzer kann meistens gar nichts tun“
Kryptowire-Chef Angelos Stavrou zum IT-Magazin „Wired“: „Wir wollten feststellen, wie einfach es für jemanden ist, in ein Gerät einzudringen, ohne dass der User vorher irgendeine App herunterlädt.“ Die Entdeckung seiner Forscher sei für den Smartphone-Käufer geradezu frustrierend.

Zitat Icon

Im Kampf um möglichst billige Geräte glaube ich, dass die Qualität der Software so weit erodiert ist, dass es den Endnutzer gefährdet.

Angelos Stavrou, Kryptowire-CEO

„Wenn das Problem direkt im Gerät liegt, hat der Nutzer keine Optionen. Weil der Code tief im System vergraben ist, kann der Nutzer meistens gar nichts tun, um die lästigen Funktionen loszuwerden.“ Die Schuld sieht Stavrou bei den Herstellern. „Im Kampf um möglichst billige Geräte glaube ich, dass die Qualität der Software so weit erodiert ist, dass es den Endnutzer gefährdet.“

Viele der entdeckten Sicherheitslücken betreffen die Rechteverwaltung des Betriebssystems: Bei manch einem Hersteller können Apps Einstellungen verändern, ohne den User vorher um Erlaubnis zu fragen. „Wir glauben, dass man als Verkäufer niemandem anderen so sehr vertrauen sollte, dass er die gleichen Rechte wie man selbst im System bekommt“, sagt Stavrou.

Auch Google ist die Problematik bekannt
Bei Google ist man sich der Problematik mit Bloatware bewusst. Googles Project-Zero-Sicherheitsforscherin Maddie Stone hatte die Thematik erst kürzlich auf der Sicherheitskonferenz Black Hat USA 2019 angesprochen und berichtet, dass Android-Handys im Durchschnitt mit 100 bis 400 vorinstallierten Apps ausgeliefert werden, von denen viele gar nicht vom Hersteller stammen, sondern auch von Drittherstellern und Mobilfunkern, die für den User unsichtbare Android-Komponenten zuliefern. Die meisten Hersteller hätten gar nicht die Ressourcen, jede Komponente hinreichend auf potenzielle Risiken zu scannen.

Die stark angepassten Android-Installationen vieler Smartphone-Hersteller haben indes noch einen weiteren unangenehmen Nebeneffekt: Wenn Google eine neue Version seines Betriebssystems oder ein wichtiges Sicherheits-Update veröffentlicht, können sie es nicht sofort an die Kundschaft ausliefern, sondern müssen es vorher noch mühsam anpassen. Ist der Hersteller hier nicht dahinter oder verzichtet - etwa, weil das Update eines wenig verbreiteten Geräts unwirtschaftlich ist - ganz darauf, Aktualisierungen auszuliefern, gefährdet er die Sicherheit des Nutzers.

Android-One-Geräte werden immer beliebter
Dass unerwünschte Software-Dreingaben für viele Nutzer durchaus kaufentscheidend sind, beweist die steigende Beliebtheit von Android-Smartphones mit dem unverfälschten Android One. Diese Variante des Betriebssystems ist frei von Bloatware und entspricht genau den Vorgaben von Google, verzichtet also auch auf herstellerspezifische App-Dreingaben oder Interface-Varianten. Aktualisierungen kommen hier direkt von Google. Entsprechende Geräte gibt es etwa von Nokia, Lenovo/Motorola oder Xiaomi.

Dominik Erlinger
Dominik Erlinger
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Donnerstag, 23. Jänner 2020
Wetter Symbol

Produktvergleiche

Alle Produkte sehen
Ihre Cookies sind deaktiviert. Die Seite wird daher möglicherweise nicht korrekt angezeigt.