Chinesische Billig-Smartphones betroffen
Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf, berichtete zdnet.de unter Verweis auf eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight. Es sollen Millionen von Geräten von rund 55 Smartphone-Modellen betroffen sein. Darunter auch solche, die in Deutschland erhältlich sind.
Die amerikanische Regierung warnt in diesem Zusammenhang vor folgenden Marken:
- Beeline,
- Xolo,
- Iku Mobile,
- Doogee,
- Leagoo und
- Infinix Mobility
Betroffen sind auch Geräte des US-Anbieters Blu (Amazon) Diese waren erst kürzlich durch eine vorinstallierte App „Adups“ aufgefallen, die Nutzerdaten nach China sandte.
Unsichere Android-Firmware
Das chinesische Unternehmen Ragentek hat offensichtlich die gefährdeten Smartphones zu verantworten. Mittels des eingesetzten Android-Updaters werden über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt. Dadurch sind die Geräte anfällig für eine Man-in-the-Middle-Attacken. Daneben werden unverschlüsselt auch Gerätedaten wie IMEI (International Mobile Station Equipment Identity) und Telefonnummer abgegriffen.
Vor dem Nutzer verborgen holt sich die Software Root-Berechtigungen. Ein Verhalten, dass das US-CERT als Rootkit einstuft. Das führt letztendlich dazu, dass Angreifer von außen Malware installieren und persönliche Daten des Nutzers abgreifen können. Laut den Sicherheitsforschern fragt die Android Firmware von Ragentek auch drei Websites nach Updates an. Zwei dieser Portale waren nicht registriert, ein Zustand, den die Forscher als grob fahrlässig bezeichneten. Wie verlautet registrierte AnubisNetworks zum Schutz der gefährdeten Nutzer daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.
Anubis Networks verhindert weitere Angriffe
Die Sicherheitsforscher von Anubis Networks erkannten:
„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“
„AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“
Obwohl laut US-CERT auch Blu das Problem mittels Update behoben hat, sind noch Millionen von Android-Smartphones anderer Anbieter betroffen.
