Qualcomm Sicherheitslücke betrifft Smartphones ab Android Gingerbread

artikel_androidEine Sicherheitslücke, die zahlreiche Nutzer betreffen könnte, wurde jetzt in von Qualcomm gepflegten Software-Teilen entdeckt. Sie ermöglicht einen potentiellen Angriff auf die SMS- und Telefon-Datenbank eines Smartphones, auf älteren Geräten sogar noch mehr. Der Angriff kann auf zweierlei Arten erfolgen, entweder muss der Angreifer das Gerät physisch in die Hand bekommen oder er bringt den Nutzer dazu, eine manipulierte App zu installieren. Die Lücke ist seit Android Gingerbread (2011) vorhanden. Während Qualcomm im Januar darüber informiert wurde und die Lücke geschlossen wurde, wissen Smartphone-Hersteller seit März von ihr. Das Problem: Nicht jedes betroffene Gerät wird ein entsprechendes Update erhalten.

Während die Auswirkungen der Lücke je nach Hersteller (und den damit verbundenen Systemanpassungen) unterschiedlich ausfallen können, ist eine manipulierte App für den Nutzer schwer erkennbar, da sie keine ungewöhnlichen Rechte abfragt. Auch wenn sie dann aktiv wird, wird der Nutzer keine außergewöhnlichen Vorgänge feststellen können. Die Lücke entstand als Qualcomm neue Schnittstellen im Rahmen des „network_managers“ einführte und in Folge dessen den „netd“-Daemon für Tethering-Optionen änderte.

Für den Nutzer bleibt in so einem Fall nur die Hoffnung auf einen Patch durch den Hersteller. Wie aber bereits erwähnt, ist es fraglich, wie viele der zahlreichen unterschiedlichen Geräte diesen überhaupt erhalten werden. Auch der schlaue Spruch, dass man aufpassen solle, was man installiert, greift hier nicht wirklich, da eben schlecht erkennbar. Etwas tröstend ist vielleicht, dass die Lücke bei älteren Geräten mehr ermöglicht als auf neueren, wo die Möglichkeiten eben von den Herstellern und deren Systemanpassungen abhängen.

Die technischen Details zur Schwachstelle könnt Ihr bei Fireeye nachlesen. Grund zur Panik? Zumindest im Moment eher nicht. Aber vielleicht einmal wieder ein guter Zeitpunkt, um die Nutzer zu animieren, beim nächsten Smartphone-Kauf auf Hersteller zu achten, die auch ältere Geräte mit Software-Updates versorgen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

18 Kommentare

  1. Björn B. says:

    Da lob ich mir die Update Politik von Sony, selbst 2 Jahre alte Telefone haben die neueste Software drauf.

  2. 2 Jahre alte Sony? Die haben die 6.0.1 mit Patch vom April? Das wäre aber ganz neu..

  3. „selbst 2 Jahre alte Telefone“
    2 (!) Jahre alte (!) Telefone – Wahnsinn an welch kurze Nutzungszeiten Verbraucher mittlerweile von Konsumgüterproduzenten gewöhnt wurden, ohne es zu merken.

  4. autarch princeps says:

    Und hier sieht man wiedereinmal das Problem mit dem Updatemanagement unter Android. Man kann so was einfach nicht den Herstellern oder Netzbetreibern überlassen.

    @Björn B.: Ich habe ein Xperia M4 Aqua, das kann man auch jetzt noch neu kaufen, und das hat noch 5.0 drauf (habe gerade extra noch mal geguckt, keine Updates verfügbar, übrigens auch ein Gerät mit Qualcomm SoC). Ich würde nicht sagen das Sony schlechter als andere Hersteller ist, aber es ist noch meilenweit von akzeptablen Updatezeiträumen entfernt.

  5. Gibt es im Android-Bereich überhaupt Hersteller, die Updates auch über Jahre hinaus zur Verfügung stellen? Und das auch noch zeitnah? Genau da nämlich dürfte das größte Problem liegen. Und das ist vermutlich auch zukünftig nicht zu lösen, solange die Hersteller nicht endlich Abstand davon nehmen, ihren Geräten eine eigene Oberfläche aufzudrücken.

  6. vel2000 says:

    *auf älteren Geräten sogar noch mehr*,,,,
    Ja und was bitte schön?
    Gingerbread…tss.
    Welche Geräte bis zu welcher Android Version sind denn TATSÄCHLICH betroffen?

    *Während die Auswirkungen der Lücke je nach Hersteller (und den damit verbundenen Systemanpassungen) unterschiedlich ausfallen können…*
    Welche Auswirkungen gibt es denn im schlimmsten Fall zu befürchten, was kann passieren?

    Zusammengefasst:
    Viel Geschwurbel, keine Fakten.
    Und nein, ein popeliger Link auf eine englischsprachige Website, hilft da auch nicht mehr viel weiter.
    Keine Lust gehabt, das kurz auf DEUTSCH zusammen zu fassen?
    [….] *censored by author*

  7. Android – das Windows 95 für die Hosentasche!
    Selbst Nexus Geräte bekommen ja nicht gerade lange Updates wenn es Google nicht reinläuft. Galaxy Nexus wurde bei Android 4.3 abgesägt, das iPhone 4s kam zur selben Zeit raus und hat aktuellstes iOS wenn auch paar Funktionen fehlen und es etwas lahmt. Das eine wird wohl 5 Jahre mit Updates versorgt oder sogar länger, das andere wurde nicht mal 2 Jahre versorgt (wobei die Sprint/Verizon Versionen gerade mal 1 Jahr lang Updates bekamen). Nexus 4 wurde bisher 3 Jahre aktualisiert, mit Glück kommt wie beim Nexus 10 irgendwann mal noch ein Sicherheitsupdate…
    Google hat es mit Android 5 komplett verkackt ein Updatemechanismus einzuführen, der damals so ersehnt wurde. Bei Android 6 hat schon niemand mehr daran gedacht und Resignation herrscht…

  8. …entweder muss der Angreifer das Gerät physisch in die Hand bekommen oder er bringt den Nutzer dazu…
    Dann ist es für mich so gut wie keine Sicherheitslücke.

  9. vel2000 says:

    *entweder muss der Angreifer das Gerät physisch in die Hand bekommen oder er bringt den Nutzer dazu…*
    Ja das ist dämlich, aber keine „Sicherheitslücke“.
    Wenn ich das Gerät sowieso in Besitz habe, kann ich jede beliebige Malware installieren, oder das Gerät gar rooten und somit komplett übernehmen.

    Aber ok, der nächste Plastikarmband-Test für die iWatch kommt bestimmt, das wird dann auch ausführlicher behandelt…
    😛

  10. Luis_Locke says:

    Dann sucht man sich einen Hersteller der auf eigene Chips setzt, Samsung oder Huawei, der das gewünschte Gerät mit Android M versorgt und ist relativ sicher. Android bedeutet immer noch flexibel und anpassbar zu sein, also kann man zum Teil die UI nach seinem Gusto persönlich gestalten.
    Wer grundsätzlich mit solchen Ideen nicht leben kann, und auf ein hohes Maß an Sicherheit und schnellen Updates setzt, muss sich eben endgültig von Android verabschieden und zu iOS wechseln.

  11. Stefan Tabbert says:

    Also mein Sony ist keine zwei Jahre alt und Garantie bis 10.2017 aber das Z1C ist ein Model das mehr als 2 Jahre alt ist und somit kein Update bekommt. Ich gehe auch nicht davon aus das hier noch ein Patch kommt. Ich hatte mich von Samsung abgewand und zu Sony gewechselt da alle davon schwärmten wie gut das dort doch mit den Updates klappt, auch für „ältere Modelle“

  12. Da lob ich Cyanogenmod und die anderen Custom Roms, somit kommt man für sehr viele Handymodelle an aktuelle Updates ran. Habe momentan CM13 mit Sicherheitspatch-Ebene von 2. April 😀

    Aber man muss sich dafür halt mit rooten, Recovery und Custom Roms auseinandersetzen 🙂

  13. Keine Ahnung, was die Leute heute immer noch dazu verleitet, Smartphones anderer Hersteller als Google, (noch) Motorola, Blackberry & Co. mit Vanilla-Android zu kaufen. Die Leute, die später immer wieder jammern wegen fehlender Updates und dann doch immer wieder so ein verfrickeltes Ding der bekannten Updatemuffel kaufen sind scheinbar so resistent und eingefahren, das die evtl. den Ärger brauchen nur um sich immer wieder darüber aufzuregen 😉 Aber zugegeben, Samsung gibt mittlerweile echt Gas, zumindest bei den Topmodellen. Der Rest was da nicht High-End ist, fällt ja wie immer hinten runter. Mal sehen wie lange die das mitmachen.

    Es muss auch nicht unbedingt 4 oder 5 Jahre Updates bekommen (in der IT eine ewig lange Zeitspanne), solange bleibt eh kaum ein Telefon in Nutzung, gerade bei der hierzulande gängigen Vertragspraxis von 24 Monaten. Aber die Hersteller schaffen / wollen meistens nicht mal das. Käufer, die sich separat ein Handy kaufen sind hier eher in der Minderheit und meistens Technik-Geeks aus Spaß an der Freude über neue Spielzeuge. Updates für das 4s, es lahmt ein wenig? Das Ding ist mittlerweile alt und unbenutzbar, Hauptsache die Versionsnummer wurde hochgezählt, das hilft doch keinem weiter. Ähnlich Nexus 10, das Teil ist mittlerweile so träge, das macht einfach keinen Spaß mehr…irgendwann muss auch mal Schluss sein und es ist Zeit für etwas Neues, sonst würden wir alle noch mit DOS oder Win 3.1 rumhampeln.

  14. Wie find ich (73) raus, ob ich Geräte mit ‚Qualcomm SoC‘ habe – und was bedeutet ‚SoC‘?

  15. @bat

    SoC: https://de.wikipedia.org/wiki/System-on-a-Chip

    Für detaillierte Infos über die in deinen Geräten verbauten Chips: https://play.google.com/store/apps/details?id=com.cpuid.cpu_z&hl=de

  16. Also bisher hat blackberry beim priv geliefert. Seit Anfang des Monats 6.0.1 mit Mai patch.

  17. @Kalle: Danke.

  18. „Aber vielleicht einmal wieder ein guter Zeitpunkt, um die Nutzer zu animieren, beim nächsten Smartphone-Kauf auf Hersteller zu achten, die auch ältere Geräte mit Software-Updates versorgen.“

    Guter Witz… Der größte Hersteller, Samsung, versorgt alles jenseits der zwei bis drei letzten Topmodelle nur sehr selten mit Updates, und selbst Google stelle ohne technische Not nach drei Jahren seine Updates ein!