Sicherheitslücke „Certifi-gate“ kann Android-Smartphones zu Spionage-Tools machen

7. August 2015 Kategorie: Android, Backup & Security, geschrieben von:

Aktuell findet die Sicherheitskonferenz Black Hat statt, auf ihr präsentieren Sicherheitsforscher ihre entdeckten Schwachstellen in diversen Systemen. Stagefright hatten wir die Tage öfter im Blog, nun macht eine weitere Lücke von sich reden, sie ermöglicht die Übernahme des Smartphones durch Angreifer, die dadurch jegliche Inhalte stehlen oder Funktionen aktivieren können. Aber, das gleich vorneweg, um einer eventuellen Panik vorzugreifen: Die Hersteller wissen seit geraumer Zeit von dem Problem und haben eventuell sogar schon einen Fix verteilt.

Android

Denn auch dies ist der Vorteil solcher Sicherheitskonferenzen. Forscher suchen gezielt nach Lücken und informieren die Hersteller mit einem entsprechenden Vorlauf, bevor die Ergebnisse auf einer solchen Konferenz präsentiert werden. Die Lücke findet sich in den sogenannten Remote Support Tools, also Schnittstellen, die Hersteller nutzen können, um den Kunden direkt auf den Geräten zu helfen, wenn sie ein Problem haben.

Die Schwachstelle, die es beliebigen Apps ermöglicht auf die Supportschnittstellen des Smartphones zuzugreifen, wurde Certifi-gate getauft. Während die Hersteller zwar bereits vor Monaten informiert wurden, ist nicht bekannt, inwiefern schon Patches zur Verfügung stehen. HTC äußerte sich dahingehend, dass der Patch bereits fertig sei und beginnend mit dem HTC One M9 und den neueren Desire-Geräten verteilt wird.

Wer sein Smartphone auf eine solche Angreifbarkeit prüfen möchte, kann dies mittels einer im Google Play Store verfügbaren App tun. Dass diese Angriffsmethode bereits aktiv ausgenutzt wird, ist nicht bekannt. Hier hilft wie immer der Hinwies, dass Apps aus vertrauenswürdigen Quellen wie dem Google Play Store geladen werden sollten und man generell die Augen offen halten sollte, was Apps so an Berechtigungen einfordern. Sind diese nicht nachvollziehbar (was sie in den meisten Fällen sind, auch wenn es der Durchschnittsnutzer nicht nachvollziehen kann), schadet es sicher auch nicht, einmal auf eine App zu verzichten.

Certifi-gate Scanner
Certifi-gate Scanner
Entwickler: Check Point Labs
Preis: Kostenlos
  • Certifi-gate Scanner Screenshot
  • Certifi-gate Scanner Screenshot
  • Certifi-gate Scanner Screenshot
(Quelle: CBS)

Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 9389 Artikel geschrieben.