Sicherheitsforscher Justin Case hat eine Sicherheitslücke in der proprietären Treibersoftware für MediaTek-Chips entdeckt. Als „Readonly“ deklarierte Attribute sind nicht nur lesbar, wie der Name sagt, sondern lassen sich auch überschreiben. Das Problem tritt nur in Verbindung mit Android 4.4 KitKat auf.
MediaTek behauptet nun, die Hintertür sei eine Diagnosefunktion für chinesische Netzbetreiber gewesen. Den Weg in die ausgelieferte Version habe sie nur aus Versehen gefunden. Man arbeite an einem Fix. Auf kritische Nachfragen hin lud es Case zu einem nicht öffentlichen Austausch ein, was dieser verweigerte. Er hält den Fehler laut seinem ersten Tweet für einen Verstoß gegen grundlegende Sicherheitsmaßnahmen.
Welche Chip- und Smartphonemodelle letztlich betroffen sind, teilten weder Case noch MediaTek mit – auch um es eventuellen Angreifern nicht zu leicht zu machen. MediaTek-Prozessoren kommen vor allem in günstigeren Android-Modellen zum Einsatz, etwa Amazons Fire-Tablets oder Android-One-Geräten, besonders häufig aber in Produkten chinesischer Hersteller wie Lenovo, Huawei und Oppo. Die englische Wikipedia führt eine umfassende Liste.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Dass MediaTek noch nie Quelltexte seiner Android-Treiber verfügbar machte, stellte etwa für Cyanogen ein Problem dar, das erst im Januar 2015 Android-One-ROMs auf Basis von KitKat (Android 4.4) vorlegen konnte. CyanogenMod kommentierte damals: „Chips von MediaTek (MTK) sind ein berüchtigtes Problem für die Entwicklergemeinschaft, um vollen Funktionsumfang zu gewährleisten, und dies ist ein Meilenstein der Bemühungen.“
Ein MediaTek-Prozessor steckt auch im ersten Modell des Fairphone, dessen niederländischer Hersteller diese Wahl 2014 in einem Blogbeitrag rechtfertigte. Er musste darin einräumen, dass sein erstes Endgerät aus diesem Grund wohl nie über Android 4.2 hinaus gelangen wird. Um Käufer nicht mit einem veralteten System stehen zu lassen, führen die Fairphone-Entwickler in Eigenregie zusätzliche Aktualisierungen durch, die aber nur einzelne Funktionen oder Patches bringen.
Das chinesische Parlament hatte Ende Dezember 2015 ein umstrittenes Antiterrorgesetz verabschiedet, das im Land operierenden Internetanbietern „technische Unterstützung und Hilfe, auch bei Entschlüsselung“ abverlangt. Eine in früheren Entwürfen vorgesehene Herausgabe von Schlüsseln war nicht enthalten. Ein Sprecher der chinesischen Regierung erklärte, das Gesetz werde „das Alltagsgeschäft von Firmen nicht betreffen.“ Es würden auch keine „Hintertüren installiert, um Urheberrecht zu verletzen, die Meinungsfreiheit oder freie Religionswahl einzuschränken.“
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
