Amazon patcht drei Schwachstellen in Fire Phone

Amazon hat drei Sicherheitslücken im Betriebssystem seines bisher einzigen Smartphones gestopft. Zwei ermöglichten theoretisch eine Überwachung der Kommunikation durch Man-in-the Middle-Angriffe. Amazon reagierte damit auf eine Warnung von MWR Labs zu Fire OS, die es am 19. Januar erhielt und die Ende vergangener Woche öffentlich gemacht wurde.

Die Bugfixes erfolgten laut Amazon ohne separate Ankündigung mit dem Update auf Fire OS 4.6.1 im Mai. Der Konzern benötigte somit rund vier Monate, um die kritischen Fehler zu beseitigen. Die Pflege des Fire Phone ist für ihn freilich eine undankbare Aufgabe, hatte sich das Gerät doch weit unter Erwartungen verkauft.

Die erste Schwachstelle im Paket CertInstaller ermöglicht eine stillschweigende Installation von Zertifikaten, ohne dass der Anwender zustimmen muss. Somit könnte sich ein Angreifer als Man-in-the-Middle in vermeintlich sichere Kommunikation einklinken und sie mithören.

Das Advisory (PDF) warnt Nutzer vor allem vor dem Fall einer Information, ein neues Zertifikat sei installiert worden. Solche Zertifikate sollten sofort gelöscht und alle zuletzt installierten Anwendungen wegen Malwareverdachts entfernt werden. Diese Installationsmeldung ist der einzige Hinweis auf die Infektion, den ein Anwender von selbst zu sehen bekommt.

Die zweite Schwachstelle (PDF) besteht in einer mangelhaften Überprüfung der eindeutigen Kennung eines Geräts (UID). Sie könnte ebenfalls genutzt werden, um einen Man-in-the-Middle-Angriff auszuführen.

Die dritte und letzte Schwachstelle besteht in einer nicht ausreichend abgesicherten USB-Debugging-Möglichkeit. So gab es keine Abfrage, ob Fire-Phone-Nutzer einen neuen USB-Host akzeptieren wollten, und selbst bei gesperrten Geräten war ein Zugriff auf die Android Debug Bridge möglich. Somit konnte ein Angreifer mit Zugriff aufs gesperrte Gerät Anwendungen installieren oder deinstallieren oder unter Umgehung der Gerätesperre Daten stehlen.

Fire OS ist ein Android-Derivat von Amazon mit eigenen Erweiterungen, etwa dem Browser Silk. Die aktuelle Version Sangria basiert auf Android 4.4 KitKat. Es kommt auch auf Tablets der Kindle-Fire-Reihe zum Einsatz, diese werden in den Sicherheitsmeldungen von MWR Labs jedoch nicht als anfällig erwähnt.

Das im Juni 2014 vorgestellte Fire Phone hat die Verkaufserwartungen nicht erfüllt und Amazon zu einer hohen Abschreibung von 170 Millionen Dollar gezwungen. Diese Belastung führt der Onlinehändler in seiner Quartalsbilanz für das dritte Quartal 2014 vorrangig zurück auf „die Inventarbewertung des Fire Phone und Kostenverpflichtungen gegenüber den Lieferanten“. An Lager waren zu diesem Zeitpunkt noch Smartphones im Wert von rund 83 Millionen Dollar, wie Finanzchef Tom Szkutak berichtete. Das Fire Phone bezeichnete er als „ein gutes Gerät in einem stark umkämpften Markt“.

Im vergangenen Dezember erklärt Amazon-CEO Jeff Bezos offenbar ebenfalls mit Bezug aufs Fire Phone, er werde weiter Risiken eingehen. „Einige wenige große Erfolge kompensieren Dutzende und Aberdutzende Dinge, die nicht funktioniert haben.“ Manchmal benötige man „mehrere Anläufe“, um etwas richtig hinzubekommen. „Was das Smartphone betrifft, bitte ich Sie, noch etwas abzuwarten.“

Inzwischen ist das Fire Phone nicht mehr verfügbar. Einen Nachfolger hat Amazon bisher ebenfalls nicht präsentiert.

[mit Material von Charlie Osborne, ZDNet.com]