Android-Handys IBM-Forscher entdecken neue Sicherheitslücke

Googles mobiles Betriebssystem Android wird wieder zur Zielscheibe von Cyber-Kriminellen. Experten von IBM entdeckten eine gravierende Sicherheitslücke.

Android-Männchen Quelle: dpa

Sicherheitsforscher von IBM haben eine neue Sicherheitslücke in Android-Handys entdeckt. Über scheinbar harmlose Apps könnten Angreifer damit auf fast alle Daten aus dem Smartphone zugreifen, teilte IBM am Mittwoch mit. Mehr als jedes zweite Gerät mit den Betriebssystemversionen 4.3 bis 5.1 und Android M sei davon betroffen. „Nachrichten über schwere Sicherheitslücken im Mobile-Umfeld halten uns alle weiter in Atem“, sagte Gerd Rademann, Sicherheitsexperte bei IBM. Zuletzt waren wiederholt gravierende Lücken im Android-System bekanntgeworden.

Über eine Lücke in einer Zertifikatsklasse von Android, die Entwickler nutzen, um ihrer App Zugriff zu bestimmten Daten zu gewähren, könnten Angreifer das Smartphone theoretisch komplett übernehmen. So könnten sie Spähfunktionen in einer scheinbar harmlosen Spiele- oder Taschenlampen-App verstecken. Sobald der Nutzer sie installiert hat, könnten die Hacker über die Lücke heimlich weitere Zugriffsrechte aktivieren. So entstehe eine „Super-App mit nahezu vollem Zugriff“.

So enttarnen Sie Schnüffler auf dem Handy
Vor dem Download: Kommentare lesen und Rechte hinterfragenWenn eine App mehr wissen will, als sie sollte, finden sich darüber recht schnell Kommentare im Appstore. Außerdem sollte sich jeder Nutzer vor dem Download fragen, ob ein einfaches Programm wie eine Taschenlampen-App wirklich auch die Positionsdaten per GPS erfassen muss – oder ob es ihr nicht nur darum geht, Daten zu sammeln und weiter zu reichen. Quelle: dpa
Auf die IMEI-Nummer achtenDank der International-Mobile-Equipment-Identity-Nummer (IMEI-Nummer) lässt sich der Handybesitzer über den Provider eindeutig zuordnen. Dann können die neugierige Apps zu den gesammelten Daten auch die Identität dahinter zuordnen. Bei Android heißt das Rech,t die IMEI-Nummer herauszufinden "Telefonstatuts lesen und identifizieren". Quelle: REUTERS
Clueful Privacy AdvisorDownload oder kein Download? Bei dieser Frage hilft die App Clueful Privacy Advisor. Dank einer Online-Datenbank, auf die sie zugreift, gibt sie darüber Auskunft, von welchen Apps ein niedriges, moderates oder hohes Risiko für die Privatsphäre ausgeht. Quelle: Screenshot
RedPhoneDie NSA überwacht außer dem Internet, auch Telefonate. Wer nicht will, dass jemand mithört kann mit der App RedPhone abhörsichere Internettelefonate zwischen Android-Handys führen. Quelle: Screenshot
SilentPhoneAußer Telefonaten verschlüsselt SilentPhone auch Textnachrichten und Mails. Quelle: Screenshot
Ad Network Scanner & DetectorViele App-Betreiber sind Mitglied in sogenannten Werbenetzwerken, die das Nutzungsverhalten erfassen. Der Ad Network Scanner & Detector untersucht Apps auf Komponenten von 35 Werbenetzwerken. Nach dem Scan listet die App die aktiven Werbenetze mit Informationen dazu auf, wie die Netze funktionieren und welche Daten sie sammeln. Der Vorteil: Das Programm entdeckt nicht nur Schnüffel-Apps, sondern bietet mit der Opt-Out-Funktion auch an, das Datensammeln einer App für Werbezwecke abzustellen. Quelle: Screenshot
tPacketCaptureDie App schneidet den Datenverkehr von Apps mit und wertet ihn aus. So testet sie, welche Programme auf dem Smartphone besonders neugierig sind. Quelle: Screenshot

Den Angaben zufolge stellte Google bereits Patches für die Android-Versionen 4.4 und 5.1 sowie für Android M bereit. Unter dem Namen Stagefright war zuletzt eine weitere gravierende Sicherheitslücke in Android entdeckt worden, die noch immer nicht von allen Smartphone-Herstellern geschlossen wurde. Wie das Computer-Fachmagazin „heise online“ berichtete, nutzen Cyber-Ganoven die Schwachstelle inzwischen aus, um selbst Spionagesoftware zu verbreiten.

Diese verstecken sie in einer täuschend echt wirkenden E-Mail mit einem vermeintlichen Sicherheits-Update mit Google als angeblichem Absender. Darin geben sie vor, dass es über die Stagefright-Lücke bereits einen unberechtigten Zugriff aus Russland auf das Google-Konto des Empfängers gegeben habe. Wer den Link anklickt, aktiviere allerdings den Trojaner, der dann den Kriminellen weitreichenden Fernzugriff auf das Smartphone erlaube.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%