Smartphone-Software: Gefahren, die in Updates schlummern

Smartphone-Software: Gefahren, die in Updates schlummern

von Ben Schwan

Mobilgeräte gelten als Wachstumsmarkt Nummer eins für Onlineganoven und ihre Datenschädlinge. Trotzdem verbleiben viele Sicherheitslücken lange Zeit in der Software aktueller Handys und Tablets. Wo Hersteller versagen und was Nutzer tun können.

Seit Mitte Juni dürfte eigentlich niemand, dem etwas an seiner persönlichen Datensicherheit liegt, ein Smartphone mit Googles aktueller Android-Version "KitKat" nutzen. Der bekannte Sicherheitsforscher George Hotz hat zu diesem Zeitpunkt eine Software namens "TowelRoot" veröffentlicht. Mit dem kleinen, kostenlosen Programm ist es möglich, zahlreiche Geräte auf dem Markt innerhalb von weniger als einer halben Minute zu "rooten", sich also Super-User-Rechte zu verschaffen, mit denen praktisch alles erlaubt ist. Eine Software mit Rootrechten kann beispielsweise versteckt die Kamera aktivieren, SMS mitlesen oder Gespräche abhören und all diese Inhalte ins Internet senden. Googles übliche Sicherheitsbarrieren greifen nicht mehr.

Hotz hat TowelRoot keineswegs dafür entwickelt, dass Angreifer es nutzen, um böse Software auf Android-Geräten zu installieren. Stattdessen will er Bastlern mit seinem Programm helfen, mehr Kontrolle über ihr Handy zu erhalten, um beispielsweise die Oberfläche anpassen zu können und unerwünschte Werbeprogramme von Google und Co. vom Gerät zu werfen. Trotzdem könnte TowelRoot bald von Onlineganoven genutzt werden, denn den Code kann man auch in harmlos wirkende Programme stecken, die ahnungslose Nutzer dann installieren. Ergo: Ein sicherheitstechnisches Loch, so groß wie ein Scheunentor.

Anzeige

Diese Daten können die populärsten Android-Apps auslesen

  • Sehr kritische Apps

    Kontaktdaten, Kalendereinträge, E-Mail, Browserdaten oder Konten werden gelesen und unter Umständen übermittelt, ohne dass die App vorher um Erlaubnis fragt. Als "sehr kritisch" sind auch solche Apps anzusehen, die nicht deklarierte Aktionen durchführen, die sich auf Kontakte oder Kalenderübermittlung beziehen.

    Apps:

    WhatsApp (Chatten mit anderen Nutzern)
    Facebook (Soziales Netzwerk)
    Skype (Internet- und Videotelefonie)
    Navigon (Navigationssystem)
    Viber (Internet-Telefonie)
    ÖPNV (Auskunft Fahrpläne von Bus und Straßenbahn)
    SPB-TV (Fernsehen aus aller Welt)
    ICQ-Messenger (Chatten mit anderen Nutzern)
    mapmyride (Auswerten von Radtouren)
    The Weather Channel (Wettervorhersage)
    Droid Blocker (Blockiert unerwünschte Anrufer)
    LinkedIn (Businessnetzwerk)
    3G Watchdog (Überwacht den Datenverbrauch)
    Qik Video (Kostenlose Videochats)
    Gtasks (To-do-Liste auf dem Smartphone)

  • Kritische Apps

    Kontaktdaten, Kalendereinträge, E-Mails, Surfverhalten, Dateien und Konten werden gelesen und unter Umständen übermittelt, nachdem die App um Erlaubnis gefragt hat. Als "kritisch" werden auch Apps bezeichnet, die sicherheitsrelevante Aspekte aufweisen.

    Apps:

    Barcoo (Entschlüsselt Strichcodes)
    eBay (Online-Auktionen)
    dict.cc (Wörterbuch)
    DB-Navigator (Bahn-Auskunft)
    Mega Jump (Online-Spiel)
    RTL inside (Programmbegleiter)
    HRS App (Hotelzimmer reservieren)
    Dropbox (Herunterladen von Dateien)
    Bloomberg App (Wirtschaftsnachrichten)
    Twitter (Kurzmitteilungen verbreiten)
    Camcard (Ordnet Visitenkarten)
    Bump (Zwei Geräte tauschen Datei)
    Instagram (Virtuelles Fotoalbum)

  • Weniger kritische Apps

    Lesen und unter Umständen die Übermittlung von Standortdaten und Geräteidentifikation. "Weniger kritisch" sind auch Apps mit nichtdeklarierten Aktionen wie Internetübermittlungen der eindeutigen Gerätekennung (IMEI-Nummer), Standort- oder hereinkommenden Daten.

    Apps:

    Blitzer.de (Warnt vor Radarfallen)
    Shazam (Identifiziert unbekannte Songs)
    Camscanner (Scannt Belege als pdf)
    Schöner Fernsehen (Zugriff auf 30 deutsche TV-Sender)
    Zattoo Live TV (Fernsehen auf dem Smartphone)
    Tunein Radio (Radiostationen aus aller Welt)
    Tiny Flashlight (Taschenlampe)
    TVGoo Live TV (Fernsehen auf dem Smartphone)
    Wetter.com (Wettervorhersagen)
    Dr. Oetker Rezeptideen (Virtuelles Kochbuch)
    Solitär (Kartenspiel)

    Tagesschau (Nachrichtensendung)

    TV-Spielfilm (TV-Programm auf dem Smartphone)
    Last.fm (Internet-Radio)
    VLC Stream (Musik und Videos streamen)
    photo2fun (Fotos bearbeiten)
    iLiga (Sport-Ergebnisse und -Tabellen)
    Evernote (Virtuelles Notizbuch)
    Skyscanner (Preisvergleich für Flüge)
    MyTaxi (Nächstgelegenes Taxi bestellen)
    Spotify (Musik und Videos streamen)
    Sixt (Auto mieten)
    XE Currency (Wechselkursrechner)
    I say hello (Reisewörterbuch)
    S-Filialfinder (Findet die nächste Sparkasse)
    Finanzen.net (Finanznachrichten)
    Runtastic (Trainingsergebnisse auswerten)
    Fruit Ninja (Online-Spiel)
    Xing (Businessnetzwerk)
    Starmoney (Mobile Banking)

  • Unkritische Apps

    Für Smartphones und Tablets von Managern geeignet, weil die Apps nicht auf persönliche Informationen zugreifen

    Apps:

    Adobe Flash Player (Hochwertige Wiedergabe von Apps)
    YouTube (Videos suchen und abspielen)
    Barcode Scanner (Entschlüsselt Strichcodes)
    Amazon (Online einkaufen)
    Angry Birds (Beliebtes Online-Spiel)
    Google Übersetzer (Automatisch übersetzen)
    Google Earth (Ortssuche aus dem Weltraum)
    Kindle (Lesen auf dem Smartphone/Tablet)
    iHandy (Wasserwaage)
    Quickoffice Pro (Verwalten von Dateien)
    Google Suche (Suchen im Web)
    TomTom (Navigation)
    Fahrplan.de (Bus- und Bahnverbindungen)
    ADAC Maps (Navigation)
    Sport1 (Sportnachrichten)
    Justin.tv (Live-Streaming)
    Öffnungszeiten-App (Lokale Ladenschlusszeiten)
    Taxicaller (Nächstgelegenes Taxi bestellen)
    Lufthansa-App (Mobile Bordkarte)
    Aroundme (Findet Banken, Bars und Tankstellen)
    Documents to go (Herunterladen von Dateien)
    Netcounter (Zeigt den Datenverbrauch an)
    Sorting Thoughts (Gedanken und Notizen sammeln)
    Verbrechen (Zeigt, wie gefährlich ein Ort ist)
    Acoustic (Alternative Radio Internet-Radio)
    Soundhound (Identifiziert unbekannte Songs)
    Meeting Rec (Aufzeichnen von Konferenzen)
    PolyUhr (Weltuhr mit allen Zeitzonen)
    Timeclock (Wecken und Zeit erfassen)

Erstaunlicherweise kam Google allerdings noch nicht dazu, die Lücke mit der offiziellen Bezeichnung CVE-2014-3153, die im Linux-Kern von Android steckt, zu schließen. So veröffentlichte der Konzern zwar mittlerweile KitKat-Version 4.4.4, doch die von TowelRoot ausgenutzte Schwachstelle, die schon seit Mai bekannt ist, wurde nicht behoben. Warum, dazu äußerte sich Google bislang nicht.

Geholfen hätte das den meisten Android-Nutzern aber sowieso nichts. Denn selbst wenn Google eine Sicherheitslücke schließt, kann es lange dauern, bis das auch seine Hardwarepartner tun und die jeweils neueste Android-Version bei den Kunden ankommt. Schließlich bringt der Internetgigant selbst nur eine kleine Anzahl von Android-Geräten im Rahmen seiner "Nexus"-Produktlinie selbst auf den Markt. Für die kann er dann auch die Software direkt kontrollieren. Andere Unternehmen wie Samsung mit seiner "Galaxy"-Baureihe, LG mit dem "G2" oder HTC mit seinen "One"-Modellen sind selbst für Android-Software-Updates verantwortlich.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%