Categories: Sicherheit

Rootkit macht Millionen Android-Smartphones unsicher

Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf. Das hat eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight ergeben. Betroffen sind mehrere Millionen Geräte und insgesamt rund 55 Smartphone-Modelle, die teilweise auch in Deutschland verkauft werden.

Die amerikanische Regierung warnt in diesem Zusammenhang vor Geräten, die unter Marken wie Beeline, Xolo, Iku Mobile, Doogee, Leagoo und Infinix Mobility vertrieben werden. Mit dabei sind auch wieder Geräte des US-Anbieters Blu, die unter anderem bei Amazon erhältlich sind. Auf Android-Smartphones dieser Marke wurde vor Kurzem erst eine Backdoor in der vorinstallierten App „Adups“ entdeckt, die die Nutzer überwachte und Daten nach China sandte.

Die jetzt aufgetauchten Schwachstellen finden sich im Android-Updater des chinesischen Unternehmens Ragentek, dessen Firmware die Hersteller der gefährdeten Geräte eingesetzt haben. Der erste Fehler besteht schon darin, dass über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt sind. Das macht anfällig für eine Man-in-the-Middle-Attacke (MITM). Unverschlüsselt schickt die Software nebenbei auch Gerätedaten wie IMEI und Telefonnummer nach Hause.

Darüber hinaus versucht sich die Software mit verschiedenen Methoden vor dem Nutzer zu verstecken und holt sich Root-Berechtigungen. Dieses Verhalten könnte laut US-CERT „als Rootkit beschrieben werden“. Aus der Ferne ist die Ausführung von Systembefehlen möglich. Übernimmt ein Angreifer das unverschlüsselte Update-Verfahren, kann er auf dem Gerät Malware installieren und die persönlichen Informationen des Nutzers ausspähen.

Die ab Werk unsichere Android-Firmware von Ragentek fragt außerdem bei drei Websites wegen Updates an, wie die Sicherheitsforscher herausfanden. Als grob fahrlässig erschien ihnen dabei, dass zwei dieser Domains noch nicht einmal registriert waren. Zum Schutz der gefährdeten Nutzer registrierte AnubisNetworks daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.

„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“, heißt es in der Analyse der Sicherheitsforscher. „AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“

Weiterhin möglich bleiben aber Man-in-the-Middle-Angriffe. Laut US-CERT scheint Blu diese Gefahr inzwischen durch ein Update behoben zu haben. Da jedoch nur etwa ein Viertel der betroffenen Geräte von diesem Anbieter stammen, sind demnach noch immer Millionen Android-Smartphones unmittelbar bedroht.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

4 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

20 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

24 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago