Categories: MobileSmartphone

Google patcht USB-Sicherheitslücke des Nexus 5X

Google hat eine Lücke geschlossen, die es erlaubte, den Sperrbildschirm seines Smartphones Nexus 5X zu umgehen und trotz Sperre Daten einzusehen – ohne den nötigen Passcode einzugeben. IBMs Sicherheitsabteilung X-Force hatte sie entdeckt und mehrere mögliche Angriffsszenarien geschildert.

Anwender konnten bei diesem Modell eine vollständige Kopie des Speicherinhalts, also auch äußerst privater Daten wie Passwörter oder Fotos, über die Android Debug Bridge (ADB) erhalten. ADB ist ein Kommandozeilenwerkzeug, mit dem Entwickler am PC auf ein per USB verbundenes Gerät zugreifen.

Beispielsweise wäre es Angreifern aus der Ferne ohne direkten Gerätezugriff zumindest theoretisch möglich, einen Entwickler-PC mit Malware zu infizieren und über diesen aufs Smartphone zuzugreifen. Ein zweiter von IBM spezifizierter Angriff würde über ein präpariertes Ladegerät laufen; das Nexus 5X müsste allerdings ADB aktiviert haben und der Nutzer den Fehler machen, die Verbindung zu autorisieren.

Einfacher funktioniert der Datendiebstahl, wenn man das Gerät in Händen hält: „Der Angreifer startet das Gerät im Fastboot-Modus neu, was ohne jede Authentifizierung möglich ist. Ein Angreifer mit physischem Zugriff kann dies durch Drücken des Leiser-Knopfs während des Bootens tun. Ein Angreifer mit ADB-Zugriff kann das tun, indem er einen ‚adb reboot‘-Bootloader-Befehl versendet“, schreibt IBM.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Der Fastboot-Modus wiederum exponierte eine USB-Schnittstelle, mit der sich der Bootloader zum Absturz bringen lässt. Dann hatte der Angreifer die Möglichkeit, den kompletten Speicherauszug herunterzuladen.

IBM weist auch auf einen naheliegenden nächsten Schritt eines Angreifers hin. Er besteht darin, dem Speicherauszug das Passwort zu entnehmen und sich Vollzugriff auf das Gerät zu verschaffen.

Da Google seine Nexus-Reihe als Android-Entwicklermodelle deklariert, ist ein aktives ADB zumindest nicht unwahrscheinlich, auch wenn die Geräte inzwischen einen breiteren Markt erreichen und von vielen geschätzt werden, denen an schnellen und häufigen Android-Updates gelegen ist. Die nächste Generation allerdings, deren Ankündigung in den nächsten Wochen erwartet wird, soll angeblich nicht mehr Nexus, sondern Pixel heißen.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago