Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf. Das hat eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight ergeben. Betroffen sind mehrere Millionen Geräte und insgesamt rund 55 Smartphone-Modelle, die teilweise auch in Deutschland verkauft werden.
Die amerikanische Regierung warnt in diesem Zusammenhang vor Geräten, die unter Marken wie Beeline, Xolo, Iku Mobile, Doogee, Leagoo und Infinix Mobility vertrieben werden. Mit dabei sind auch wieder Geräte des US-Anbieters Blu, die unter anderem bei Amazon erhältlich sind. Auf Android-Smartphones dieser Marke wurde vor Kurzem erst eine Backdoor in der vorinstallierten App „Adups“ entdeckt, die die Nutzer überwachte und Daten nach China sandte.
Die jetzt aufgetauchten Schwachstellen finden sich im Android-Updater des chinesischen Unternehmens Ragentek, dessen Firmware die Hersteller der gefährdeten Geräte eingesetzt haben. Der erste Fehler besteht schon darin, dass über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt sind. Das macht anfällig für eine Man-in-the-Middle-Attacke (MITM). Unverschlüsselt schickt die Software nebenbei auch Gerätedaten wie IMEI und Telefonnummer nach Hause.
Darüber hinaus versucht sich die Software mit verschiedenen Methoden vor dem Nutzer zu verstecken und holt sich Root-Berechtigungen. Dieses Verhalten könnte laut US-CERT „als Rootkit beschrieben werden“. Aus der Ferne ist die Ausführung von Systembefehlen möglich. Übernimmt ein Angreifer das unverschlüsselte Update-Verfahren, kann er auf dem Gerät Malware installieren und die persönlichen Informationen des Nutzers ausspähen.
Die ab Werk unsichere Android-Firmware von Ragentek fragt außerdem bei drei Websites wegen Updates an, wie die Sicherheitsforscher herausfanden. Als grob fahrlässig erschien ihnen dabei, dass zwei dieser Domains noch nicht einmal registriert waren. Zum Schutz der gefährdeten Nutzer registrierte AnubisNetworks daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.
„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“, heißt es in der Analyse der Sicherheitsforscher. „AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“
Weiterhin möglich bleiben aber Man-in-the-Middle-Angriffe. Laut US-CERT scheint Blu diese Gefahr inzwischen durch ein Update behoben zu haben. Da jedoch nur etwa ein Viertel der betroffenen Geräte von diesem Anbieter stammen, sind demnach noch immer Millionen Android-Smartphones unmittelbar bedroht.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.