Fast eine Milliarde Android-Geräte mit Sicherheitslücken

Die Sicherheitsfirma Check Point hat vier Lücken in der Treiber-Software der LTE-Chipsets von Qualcomm entdeckt. Wie Michael Donenfeld von Check Point am Sonntag an der Sicherheitskonferenz «Def Con» in Las Vegas sagte, reiche es für Cyberkriminelle, eine simple App zu entwickeln, die keine besondere Zugriffsrechte benötigen würde, um vollen Schreib- und Lesezugriff auf das Smartphone zu bekommen. Die unter dem Schlagwort «Quadrooter» zusammengefassten Fehler könnten ausgenutzt werden, um sich Zugriff auf fast eine Milliarde Android-Geräte zu verschaffen. iPhones und Windows Phones seien von der Lücke nicht betroffen. Laut Check Point sollen die Lecks bis jetzt noch nicht ausgenutzt worden sein.

Qualcomm selber sei im April bereits über die Probleme informiert worden. Weitere Schwachstellen betreffen zwei Kernel-Treiber für den Grafikprozessor sowie einen Fehler mit der Speicherzuweisung im Android-System. Der Chiphersteller und seine Hardware-Partner haben Ende Juli bereits entsprechende Software-Updates zur Verfügung gestellt: Betroffen sind auch bekanntere Geräte wie das Nexus 5X, 6P, Samsung Galaxy S7 und S7 Edge sowie das LG G4, G5 und das V10. Drei der Lücken hat Google inzwischen gepatcht, der vierte Fix steht noch aus. Wie immer kann es aber eine ganze Weile dauern, bis sämtliche Android-Handys über den langwierigen Zertifizierungsprozess mit den neusten Updates versorgt werden.

Check Point warnt Android-Nutzer vor dem Rooten des Android-Systems. Mit «Rooten» ist das Erlangen von Root-Rechten gemeint; also das Einrichten von Superuser-Privilegien für vollen Schreib- und Lesezugriff; im Ausgangszustand ist ein neues Android-Handy nie «gerootet». Wie immer gelten die üblichen Sicherheitsvorkehrungen: Apps sollten möglichst nie aus anderen Quellen als aus dem Google Play Store heruntergeladen werden. Allerdings muss man auch im Play Store weiterhin auf der Hut sein, da es vermehrt auch Fake-Apps dorthin schaffen. Hierzu raten wir Ihnen, immer auch die App-Bewertungen nach Auffälligkeiten zu überprüfen und vor der Installation die eingeforderten Rechte zu studieren. Eine Taschenlampen-App als Beispiel braucht keinen Zugriff auf Ihre Standortdaten. Ausserdem rät Check Point, sich auf Reisen nur in vertrauenswürdigen WLANs einzubuchen.