Sicherheitslücke bei Android – Panikmache?

Seit gestern liest man überall von einer gravierenden Sicherheitslücke, die beinahe alle Android Geräte betrifft und lediglich Samsung hat bei seinem S4 schon einen Patch geliefert. Ist diese Lücke wirklich so gravierend und was kann man dagegen tun?

Bluebox hat laut eigenen Angaben eine Sicherheitslücke entdeckt, von der so ziemlich alle Android Geräte betroffen sind. Über diese kann beliebiger Schadcode aufs Android gelangen und mit vollem Zugriff alle Daten ausgelesen oder ein Botnetz erstellt werden.

Die Sicherheitslücke betrifft Android ab Version 1.5 (Cupcake) und somit rund 900 Millionen Geräte der letzten 4 Jahre. Man hat eine Möglichkeit gefunden den Code von Apps zu ändern, ohne die Signatur der Apps zu verändern. Somit kann die App zu einem Schädling gemacht werden ohne dass es der Anwender oder Google es bemerkt. Jede App hat daher als Sicherheitsvorkehrung eine eigene kryptographische Signatur. Es soll damit einer Manipulation oder einem Austausch der App verhindert werden. Bluebox hat das nun ausgehebelt und den Code von Apps verändern können, ohne dass deren gültige Signatur dabei zerstört wird. Nun stellt sich die Frage, ob diese Sicherheitslücke wirklich so gravierend ist.

Grundsätzlich ist diese Möglichkeit der Manipulation nicht zu vernachlässigen, da es schwer ist eine manipulierte App vom jeweiligen Original zu unterscheiden. Vor allem für „normale“ Nutzer ist das nahezu unmöglich. Die App könnte also unbemerkt die Benutzerdaten auslesen, kostenpflichtige Nummern anrufen, SMS an teure Premium-Nummern versenden oder gar ein Botnetz aufbauen. Passwörter könnten auf diesem Wege auch ausgelesen werden und wenn System-Apps manipuliert werden, kann sogar noch größerer Schaden entstehen, da diese mehr Rechte haben.

Allerdings hilft der gesunde Menschenverstand schon das Risiko zu minimieren. Man sollte Apps ausschließlich aus vertrauenswürdigen Quellen installieren, unter anderem Googles Play Store oder dem Amazon App Store. Die App sollte direkt vom Entwickler oder Hersteller bezogen werden und die Option, dass Apps aus unbekannten Quellen installiert werden dürfen, sollte deaktiviert sein (Einstellungen -> Sicherheit). Außerdem kann man Antiviren-Apps installieren, die auch auf verdächtiges Verhalten von Apps achten.

Wer Apps aus unbekannten, unsichereren oder gar Warez-Seiten installiert, läuft schon immer Gefahr einem Schädling und Sicherheitslücken auf den Leim zu gehen, egal ob mit korrekter Signatur oder nicht. Somit liegt die Hauptverantwortung nach wie vor beim Endnutzer. Die Hersteller sollten trotzdem schleunigst entsprechende Updates nachliefern, um diese alles andere als ungefährliche Lücke zu schließen. Lediglich Samsung hat für sein S4 bereits einen Patch geliefert, der genau diese Lücke schließen soll, welche bereits im Februar an Google gemeldet wurde.

Mein Fazit ist, dass viele Medien mit ihren reißerischen Schlagzeilen unter den Usern Angst verbreiten anstatt objektiv und mit sinnvollen Tipps zu berichten. Dies ist schon fast Bild-Niveau und wirklich traurig, dass dies sogar bei großen Technik-Zeitschriften in Online-Artikeln passiert. Selbstverständlich soll und muss man über entsprechende Sicherheitslücken berichten, aber dabei die Objektivität nicht verlieren.

Wie findet ihr die Berichterstattung und wie seht ihr die Sicherheitslücke?

[Quelle: t3n.de]