Amazon patcht drei Schwachstellen in Fire Phone

Die Fehler wurden im Februar gemeldet und im Mai gepatcht. Jetzt hat MWR Labs sie veröffentlicht. Betroffen sind alle Fire-OS-Versionen vor 6.4.1. Angreifer können Zertifikate installieren und Kommunikation belauschen. Über USB ist zudem Software-Installation auch auf gesperrten Smartphones möglich.

Amazon hat drei Sicherheitslücken im Betriebssystem seines bisher einzigen Smartphones gestopft. Zwei ermöglichten theoretisch eine Überwachung der Kommunikation durch Man-in-the Middle-Angriffe. Amazon reagierte damit auf eine Warnung von MWR Labs zu Fire OS, die es am 19. Januar erhielt und die Ende vergangener Woche öffentlich gemacht wurde.

Amazon Fire Phone (Bild: Amazon)Die Bugfixes erfolgten laut Amazon ohne separate Ankündigung mit dem Update auf Fire OS 4.6.1 im Mai. Der Konzern benötigte somit rund vier Monate, um die kritischen Fehler zu beseitigen. Die Pflege des Fire Phone ist für ihn freilich eine undankbare Aufgabe, hatte sich das Gerät doch weit unter Erwartungen verkauft.

Die erste Schwachstelle im Paket CertInstaller ermöglicht eine stillschweigende Installation von Zertifikaten, ohne dass der Anwender zustimmen muss. Somit könnte sich ein Angreifer als Man-in-the-Middle in vermeintlich sichere Kommunikation einklinken und sie mithören.

Das Advisory (PDF) warnt Nutzer vor allem vor dem Fall einer Information, ein neues Zertifikat sei installiert worden. Solche Zertifikate sollten sofort gelöscht und alle zuletzt installierten Anwendungen wegen Malwareverdachts entfernt werden. Diese Installationsmeldung ist der einzige Hinweis auf die Infektion, den ein Anwender von selbst zu sehen bekommt.

Die zweite Schwachstelle (PDF) besteht in einer mangelhaften Überprüfung der eindeutigen Kennung eines Geräts (UID). Sie könnte ebenfalls genutzt werden, um einen Man-in-the-Middle-Angriff auszuführen.

Die dritte und letzte Schwachstelle besteht in einer nicht ausreichend abgesicherten USB-Debugging-Möglichkeit. So gab es keine Abfrage, ob Fire-Phone-Nutzer einen neuen USB-Host akzeptieren wollten, und selbst bei gesperrten Geräten war ein Zugriff auf die Android Debug Bridge möglich. Somit konnte ein Angreifer mit Zugriff aufs gesperrte Gerät Anwendungen installieren oder deinstallieren oder unter Umgehung der Gerätesperre Daten stehlen.

Fire OS ist ein Android-Derivat von Amazon mit eigenen Erweiterungen, etwa dem Browser Silk. Die aktuelle Version Sangria basiert auf Android 4.4 KitKat. Es kommt auch auf Tablets der Kindle-Fire-Reihe zum Einsatz, diese werden in den Sicherheitsmeldungen von MWR Labs jedoch nicht als anfällig erwähnt.

Das im Juni 2014 vorgestellte Fire Phone hat die Verkaufserwartungen nicht erfüllt und Amazon zu einer hohen Abschreibung von 170 Millionen Dollar gezwungen. Diese Belastung führt der Onlinehändler in seiner Quartalsbilanz für das dritte Quartal 2014 vorrangig zurück auf „die Inventarbewertung des Fire Phone und Kostenverpflichtungen gegenüber den Lieferanten“. An Lager waren zu diesem Zeitpunkt noch Smartphones im Wert von rund 83 Millionen Dollar, wie Finanzchef Tom Szkutak berichtete. Das Fire Phone bezeichnete er als „ein gutes Gerät in einem stark umkämpften Markt“.

Im vergangenen Dezember erklärt Amazon-CEO Jeff Bezos offenbar ebenfalls mit Bezug aufs Fire Phone, er werde weiter Risiken eingehen. „Einige wenige große Erfolge kompensieren Dutzende und Aberdutzende Dinge, die nicht funktioniert haben.“ Manchmal benötige man „mehrere Anläufe“, um etwas richtig hinzubekommen. „Was das Smartphone betrifft, bitte ich Sie, noch etwas abzuwarten.“

Inzwischen ist das Fire Phone nicht mehr verfügbar. Einen Nachfolger hat Amazon bisher ebenfalls nicht präsentiert.

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Amazon, Security, Sicherheit, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Amazon patcht drei Schwachstellen in Fire Phone

Kommentar hinzufügen
  • Am 1. Juli 2015 um 1:34 von android_zorro

    „Das im Juni 2014 vorgestellte Fire Phone hat die Verkaufserwartungen nicht erfüllt und Amazon zu einer hohen Abschreibung von 170 Millionen Dollar gezwungen“

    Bleibt ja auch nicht aus wenn man die FirePhones nur ausschließlich bei der Telekom und bei Amazon bekommt und die Dinger nur mit einer T-Mobile Karte zu betreiben sind .Hätte man bei der Markteinführung sofort der breiten Masse die Möglichkeit gegeben das FirePhone überall kaufen zu können und jede Simkarte verwenden zu können , hätten sicherlich mehr Geräte einen Käufer gefunden . Und zufriedene Kunden sind die beste Reklame und je mehr damit rumlaufen , desto mehr wäre es Gespächsthema gewesen und weitere Käufer wären noch dazu gekommen.

    Aber wer bitteschön legt sich extra einen neuen Vertrag bei der Telekom zu , nur um ein FirePhone zu bekommen ? Kaum einer und kaufen ? Zu teuer und dann die Sache mit dem Netlock . Und die meisten bei der Telekom haben haben bereits einen Vertrag samt iPhone und die wollen sicherlich nicht wechseln oder einen neuen zusätzlichen Vertrag .Aber das war ja schon vorher klar …..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *