Android Sicherheitslücken bedrohen Millionen Android-Handys

Millionen Android-Geräte können über eine Sicherheitslücke von Hackern angegriffen werden, warnen Fachleute. Sie konnten sich über heimlich verschickte Videonachrichten in Handys hacken. Entwarnung ist nicht in Sicht.

So enttarnen Sie Schnüffler auf dem Handy
Vor dem Download: Kommentare lesen und Rechte hinterfragenWenn eine App mehr wissen will, als sie sollte, finden sich darüber recht schnell Kommentare im Appstore. Außerdem sollte sich jeder Nutzer vor dem Download fragen, ob ein einfaches Programm wie eine Taschenlampen-App wirklich auch die Positionsdaten per GPS erfassen muss – oder ob es ihr nicht nur darum geht, Daten zu sammeln und weiter zu reichen. Quelle: dpa
Auf die IMEI-Nummer achtenDank der International-Mobile-Equipment-Identity-Nummer (IMEI-Nummer) lässt sich der Handybesitzer über den Provider eindeutig zuordnen. Dann können die neugierige Apps zu den gesammelten Daten auch die Identität dahinter zuordnen. Bei Android heißt das Rech,t die IMEI-Nummer herauszufinden "Telefonstatuts lesen und identifizieren". Quelle: REUTERS
Clueful Privacy AdvisorDownload oder kein Download? Bei dieser Frage hilft die App Clueful Privacy Advisor. Dank einer Online-Datenbank, auf die sie zugreift, gibt sie darüber Auskunft, von welchen Apps ein niedriges, moderates oder hohes Risiko für die Privatsphäre ausgeht. Quelle: Screenshot
RedPhoneDie NSA überwacht außer dem Internet, auch Telefonate. Wer nicht will, dass jemand mithört kann mit der App RedPhone abhörsichere Internettelefonate zwischen Android-Handys führen. Quelle: Screenshot
SilentPhoneAußer Telefonaten verschlüsselt SilentPhone auch Textnachrichten und Mails. Quelle: Screenshot
Ad Network Scanner & DetectorViele App-Betreiber sind Mitglied in sogenannten Werbenetzwerken, die das Nutzungsverhalten erfassen. Der Ad Network Scanner & Detector untersucht Apps auf Komponenten von 35 Werbenetzwerken. Nach dem Scan listet die App die aktiven Werbenetze mit Informationen dazu auf, wie die Netze funktionieren und welche Daten sie sammeln. Der Vorteil: Das Programm entdeckt nicht nur Schnüffel-Apps, sondern bietet mit der Opt-Out-Funktion auch an, das Datensammeln einer App für Werbezwecke abzustellen. Quelle: Screenshot
tPacketCaptureDie App schneidet den Datenverkehr von Apps mit und wertet ihn aus. So testet sie, welche Programme auf dem Smartphone besonders neugierig sind. Quelle: Screenshot
App OpsDie Schnüffler sind identifiziert und was nun? Mit App Ops lassen sich bei Android gezielt Berechtigungen von Apps entziehen. Quelle: Screenshot
Lookout Mobile SecurityDieses Antivirenprogramm bietet in seiner Android-Basisversion  die sogenannte „Lock Cam“-Funktion an, die keine Spionage-Programme, sondern „echte“ Spione enttarnt, die nach dem Handy greifen. Sobald das Kennwort oder das Entsperrmuster für den Bildschirm drei mal falsch hintereiander eingegeben wird, schießt die Kamera ein Foto des Schnüfflers und schickt es per Mail an den Handybesitzer. Quelle: Screenshot
Looky-LookyAusgefallener schützt und enttarnt die App Looky-Looky neugierige Partner, Freunde oder Verwandte, die sich uneralubt das Handy schnappen. Drei Überwachungsmodi schützen dabei vor ungewollten Zugriffen. Beim Modus „Verwirrung“ wird ein falscher Screenshot des Homebildschirms gezeigt. Sobald sich daran jemand zu schaffen macht, schießt die Kamera ein Foto des Schnüfflers. Außerdem zeichnet das Programm alle Berührungen auf, damit der Handybesitzer später nachvollziehen kann, was sich die Person ansehen wollte. Im Modus „Abschreckung“ ertönt zusätzlich ein Alarmton, im Modus „Konfrontation“ wird eine Videobotschaft für den Spion abgespielt. Quelle: Screenshot

Millionen Handys mit dem Betriebssystem Android sind über mehrere Sicherheitslücken angreifbar für Hacker. Davor warnte das Bundesamt für Sicherheit in der Informationstechnik am Mittwoch. Die Lücken klaffen in der Multimedia-Schnittstelle Stagefright. Damit lasse sich über eine Multimedia-Nachricht Schadcode auf Handys platzieren, berichtete der Sicherheitsfachmann Joshua Drake. Hacker könnten so Daten stehlen, Ton und Video aufnehmen oder auf gespeicherte Fotos zugreifen.

„Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonderen präparierten Multimedia-Nachricht verschicken“, schrieben die Sicherheitsforscher um Drake auf dem Blog ihrer Firma Zimperium. „Diese Lücken sind sehr gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden können.“ Opfer müssten ein Video aus einer MMS mit Schadcode beispielsweise nicht abspielen, sondern nur die Nachricht ansehen, berichtete Drake dem US-Magazin „Forbes“.

Die unsichersten Android-Apps im Überblick
Die "sehr kritischen" Apps - Kontaktdaten, Kalendereinträge, E-Mail, Browserdaten oder Konten werden gelesen und unter Umständen übermittelt, ohne dass die App vorher um Erlaubnis fragt.WhatsAppAls besonders kritisch wurde in der Studie "WhatsApp" eingestuft. Der Messenger, der seit Monaten immer wieder in der Kritik steht, weist erhebliche Mängel auf: Die App verschafft sich die Berechtigung, Kontodaten zu verändern - damit ist das Lesen und Löschen von Passwörtern möglich. Außerdem ist es möglich, die Synchronisierungs- und Systemeinstellungen anzupassen. Die App zeigt den exakten Standort des Handys (und damit auch in den meisten Fällen den des Users) und den Netzwerkstatus an. Quelle: Presse, Montage WirtschaftsWoche Online
FacebookEbenfalls als besonders kritisch für Sicherheitsrichtlinien in Unternehmen wurde die Facebook-App eingestuft. Audio-, Bilder- und Videoaufnahmen sowie Kontaktdaten können verändert und gelesen werden. Dateientransfer über Facebook via Internet ist ein Kinderspiel. Auch hier ist es möglich den Telefonstatus und den Netzwerkstatus zu erkennen. Der Standort des Smartphones wird je nach Situation genau und ungefähr ermittelt. Quelle: Presse, Montage WirtschaftsWoche Online
SkypeDie App des Chat- und Telefon-Programms "Skype" verlangt bei der Installation insgesamt 28 Berechtigungen. Unter diesen sind einige, die für ein Unternehmen besonders kritisch sein können. So bekommt die Berechtigung, Kontaktdaten auf dem Smartphone zu verändern und zu lesen. Auch die Synchronisierungseinstellungen (wie Einschalten von Bluetooth) lassen sich verändern und der Netzwerkstatus wird angezeigt. Darüber hinaus verbraucht diese App sehr viel Netzwerkspeicher und Akkuressourcen. Die App wird bezüglich Firmendaten laut Studie als besonders kritisch eingestuft. Quelle: Presse, Montage WirtschaftsWoche Online
NavigonEbenfalls "sehr kritisch" für Unternehmen wird die App "Navigon" eingestuft. Diese App verschafft sich die Berechtigung, Audios und Videos aufnehmen, Systemeinstellungen und den WLAN-Status zu ändern. Auch alle Anwendungen, die aktuell auf dem Telefon laufen, können abgerufen und sogar beendet werden. Ohne Begründung für die Hauptfunktionalität können Kontaktdaten und vertrauliche Systemprotokolle gelesen und unter Umständen ins Internet übertragen werden. Zudem ist es möglich, Broadcast zu senden, was zu einem immensen Speicherverbrauch führt. Beim Broadcasting werden Datenpakete von einem Punkt aus an alle Teilnehmer eines Netzes übertragen und aufrecht zu erhalten. Quelle: Presse, Montage WirtschaftsWoche Online
ViberViber verschafft sich auch Zugriff auf etliche Funktionen des Smartphones. So lassen sich unter anderem Audios, Bilder und Video aufnehmen, Kontaktdaten schreiben und lesen und in das Internet übertragen, vertrauliche Protokolle lesen und Konten identifizieren. Es können alle Telefonnummern aus dem Adressbuch angerufen werden. Damit gilt die App für freie Internet-Telefonie als hervorragendes Tool ist aber für den Schutz von Firmendaten "sehr kritisch". Quelle: Presse, Montage WirtschaftsWoche Online
ÖffiAuch die App des öffentlichen Nahverkehrs "Öffi" wird als besonders kritisch eingeordnet. Die App kann Kalendereinträge auf dem Smartphone und Kontaktdaten lesen und diese unter Umständen ins Internet übermitteln. Diese Aktionen sind für Funktionalitäten der App nicht nötig. Außerdem wird der genaue Standort des Handys einsehbar. Quelle: Presse, Montage WirtschaftsWoche Online
SPB-TVDie TV-App SPB-TV gilt ebenfalls als besonders unsicher. Die App verschafft sich uneingeschränkten Zugang zum Internet mit dem Smartphone und kann sowohl den Telefon- als auch den Netzwerkstatus einsehen. Quelle: Presse, Montage WirtschaftsWoche Online
ICQDer Messenger ICQ schneidet in der App-Bewertung zur Sicherheit von Firmendaten eher schlecht ab. Die App kann Kontaktdaten lesen und unter Umständen übertragen, bekannte Konten suchen und authentifizieren sowie neue Synchronisierungseinstellungen schreiben. Quelle: Presse, Montage WirtschaftsWoche Online
MapmyrideDie App für Fahrrad-Freunde "Mapmyride" stellt aufgrund der auch für Dritte möglichen Bluetooth- und Kameramanipulationen sowie der Standorterkennung ein Sicherheitsrisiko für Unternehmen dar. Systemeinstellungen können verändert werden auch der genaue Standort des Smartphones lässt sich ermitteln. Quelle: Presse, Montage WirtschaftsWoche Online
The Weather ChannelSonnenschein oder Regenwetter? Die App "The Weather Channel" gibt Auskunft. Beim Blick auf die Risiken, die die App mit sich bringt, ist aber wohl eher Schlecht-Wetter-Stimmung angesagt. Die App verlangt bei der Installation die Erlaubnis, Audios aufzunehmen, obwohl dies für ihre Hauptfunktion nicht nötig ist. Sie übermittelt den Standort und unter Umständen können die für den Benutzer hereinkommenden Daten abgefangen werden. Quelle: Presse, Montage WirtschaftsWoche Online
Droid BlockerUmfassende Rechte erbittet sich auch die App "Droid Blocker". Die App, die eigentlich unerwünschte Anrufer und SMS blockiert, darf den Browserverlauf und die Lesezeichen schreiben, Kontaktdaten lesen und schreiben, und auch der SD-Karteninhalt kann einfach gelöscht werden. Auch SMS und MMS lassen sich lesen und empfangen und im Namen des Besitzers versenden. Außerdem lassen sich Verknüpfungen auf dem Smartphone nach Belieben installieren und deinstallieren. Quelle: Presse, Montage WirtschaftsWoche Online
LinkedinAls sehr kritisch für den BYOD-Einsatz wird auch die Social-Media-App "Linkedin" kategorisiert. Sie hat uneingeschränkten Zugriff auf das Netzwerk, darf Kontolisten lesen und im Internet authentifizieren, den SD-Karteninhalt ändern oder löschen sowie neue Kontaktdaten erstellen. Auch ressourcenfressende Dauerbroadcasts sind möglich. Quelle: Presse, Montage WirtschaftsWoche Online
Qik VideoBereits bei der Installation lässt die Liste der 28 verlangten Berechtigungen den sehr kritischen Charakter der App erahnen. Diese erlauben die Verwaltung der eingerichteten Konten und das Lesen und Schreiben von Kontaktdaten. Bluetooth-Verbindungen können von der App hergestellt und auch verwaltet werden. Neben der dauerhaften Broadcast-Verbindung kann die App Manipulationen der Statusleiste und des Dateisystems vornehmen. Quelle: Presse, Montage WirtschaftsWoche Online
GtasksDie To-do-Liste für das Smartphone "Gtasks" kann die Kalendereinträge lesen, auf das Internet zugreifen, Authentifizierungsinformationen verwenden, bekannte Konten suchen und konfigurierte Konten lesen. Für Unternehmen ein Sicherheitsrisiko. Quelle: Presse, Montage WirtschaftsWoche Online
Die "kritischen" Apps - Kontaktdaten, Kalendereinträge, E-Mails, Surfverhalten, Dateien und Konten werden gelesen und unter Umständen übermittelt, nachdem die App um Erlaubnis gefragt hat.BarcooNeben den "sehr kritischen" Apps wurden weitere Applikationen in der Analyse auch in die etwas seichtere Kategorie "kritisch" eingestuft. Diese gelten ebenfalls als unsicher. Dazu zählt auch "Barcoo". Der Barcodescanner fürs Smartphone kann es im schlimmsten Fall möglich machen, Bilder und Videos aufzunehmen, den genauen oder ungefähren Standort zu ermitteln und Kontaktdaten zu lesen. Auch der Browserverlauf wird einsehbar. Quelle: Presse, Montage WirtschaftsWoche Online
EbayDer größte Flohmarkt der Welt "Ebay" gilt ebenfalls als "kritisch" für Unternehmen. Die App kann Bilder und Videos aufnehmen, den genauen oder ungefähren Standort des Handys ermitteln und Inhalte der SD-Karte verändern. Quelle: Presse, Montage WirtschaftsWoche Online
dict.ccEbenfalls Schwächen für den BYOD-Einsatz weist das Wörterbuch "dict.cc" auf. Es fordert den uneingeschränkten Zugang zum Netzwerk des Smartphones sowie Zugriff auf den SD-Karteninhalt, der sich ändern und sogar löschen lässt. Quelle: Presse, Montage WirtschaftsWoche Online
DB NavigatorAuch die vielgenutzte App der Deutschen Bahn wird in die Kategorie "kritisch" eingestuft. Die App erhält die Erlaubnis, auf Kalendereinträge und Kontaktdaten zuzugreifen, E-Mails zu versenden und den SD-Karten-Inhalts zu verändern oder zu löschen. Quelle: Presse, Montage WirtschaftsWoche Online
Mega JumpDen Telefonstatus lesen und identifizieren, den SD-Karteninhalt ändern oder löschen oder auch Zugriff auf das Netzwerk - die Spiele-App "Mega Jump" wurde im Ranking ebenfalls als kritisch eingestuft. Quelle: Presse, Montage WirtschaftsWoche Online
RTL insideDie App des Fernsehsenders RTL weist Sicherheitsrisiken für den BYOD-Einsatz auf. Sie erhält Zugriff auf den SD-Karteninhalt sowie uneingeschränkten Zugriff auf das Internet. Quelle: Presse, Montage WirtschaftsWoche Online

Unter bestimmten Umständen würden Handybesitzer die manipulierte Nachricht nicht einmal bemerken: Der Schadcode könne ausgeführt werden, bevor die Benachrichtigung auf dem Display erscheint. Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam, bis zur Version 4.1, die es seit Mitte 2012 gibt.

Hacker könnten sich von der Multimedia-Software weiter auf das Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die jeweiligen Hersteller die Multimedia-Schnittstelle abgesteckt hätten, oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen könne.

Google erklärte, die Sicherheitslücke sei „unter Laborbedingungen auf älteren Android-Geräten identifiziert“ worden. „Nach unserem derzeitigen Wissensstand ist niemand davon betroffen“, teilte das Unternehmen mit. Das steht im krassen Widerspruch zu Aussagen von Drake, der schätzt, dass Hunderte Millionen Geräte über die Lücke angreifbar sind.

Für die Millionen Besitzer von Android-Handys und -Tablets gibt es kein zentrales Update, das sie vor der Lücke schützen würde. Google schickte zwar ein Sicherheits-Update an die Hersteller von Android-Geräten. Doch die Handybauer können selbst entscheiden, wie sie Updates an ihre Kunden weitergeben. Einzig bei den den Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche gestopft werden. Der Hersteller HTC sagte Forbes, die Lücke solle in den künftig veröffentlichten Geräten geschlossen werden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an die Hersteller wenden, „um die Verfügbarkeit von Sicherheitsupdates zur erfragen“.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%