Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf. Das hat eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight ergeben. Betroffen sind mehrere Millionen Geräte und insgesamt rund 55 Smartphone-Modelle, die teilweise auch in Deutschland verkauft werden.
Die amerikanische Regierung warnt in diesem Zusammenhang vor Geräten, die unter Marken wie Beeline, Xolo, Iku Mobile, Doogee, Leagoo und Infinix Mobility vertrieben werden. Mit dabei sind auch wieder Geräte des US-Anbieters Blu, die unter anderem bei Amazon erhältlich sind. Auf Android-Smartphones dieser Marke wurde vor Kurzem erst eine Backdoor in der vorinstallierten App „Adups“ entdeckt, die die Nutzer überwachte und Daten nach China sandte.
Die jetzt aufgetauchten Schwachstellen finden sich im Android-Updater des chinesischen Unternehmens Ragentek, dessen Firmware die Hersteller der gefährdeten Geräte eingesetzt haben. Der erste Fehler besteht schon darin, dass über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt sind. Das macht anfällig für eine Man-in-the-Middle-Attacke (MITM). Unverschlüsselt schickt die Software nebenbei auch Gerätedaten wie IMEI und Telefonnummer nach Hause.
Darüber hinaus versucht sich die Software mit verschiedenen Methoden vor dem Nutzer zu verstecken und holt sich Root-Berechtigungen. Dieses Verhalten könnte laut US-CERT „als Rootkit beschrieben werden“. Aus der Ferne ist die Ausführung von Systembefehlen möglich. Übernimmt ein Angreifer das unverschlüsselte Update-Verfahren, kann er auf dem Gerät Malware installieren und die persönlichen Informationen des Nutzers ausspähen.
Die ab Werk unsichere Android-Firmware von Ragentek fragt außerdem bei drei Websites wegen Updates an, wie die Sicherheitsforscher herausfanden. Als grob fahrlässig erschien ihnen dabei, dass zwei dieser Domains noch nicht einmal registriert waren. Zum Schutz der gefährdeten Nutzer registrierte AnubisNetworks daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.
„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“, heißt es in der Analyse der Sicherheitsforscher. „AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“
Weiterhin möglich bleiben aber Man-in-the-Middle-Angriffe. Laut US-CERT scheint Blu diese Gefahr inzwischen durch ein Update behoben zu haben. Da jedoch nur etwa ein Viertel der betroffenen Geräte von diesem Anbieter stammen, sind demnach noch immer Millionen Android-Smartphones unmittelbar bedroht.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…