IBM: Kritische Sicherheitslücke betrifft Millionen von Xiaomi-Smartphones

Sie steckt in einem vorinstallierten Analytics-Paket. Es macht unter anderem den Browser anfällig für Man-in-the-Middle-Angriffe. Darüber wiederum lässt sich Schadcode einschleusen und mit Systemrechten ausführen.

Sicherheitsforscher von IBM haben eine als kritisch eingestufte Schwachstelle in einem Analytics-Paket von MIUI gefunden, der von Xiaomi verwendeten Version von Googles Mobilbetriebssystem Android. Mehrere vorinstallierte Apps, die das Paket enthalten, sind anfällig für Man-in-the-Middle-Angriffe. Sie erlauben das Einschleusen und Ausführen von Schadcode auf Systemebene. Ein Angreifer könnte also aus der Ferne Schadsoftware installieren.

Xiaomi-Logo (Bild: Xiaomi)Einem Blogeintrag zufolge gehen die Forscher davon aus, dass mehrere Millionen der im vergangenen Jahr ausgelieferten 70 Millionen Xiaomi-Smartphones betroffen sind. Sie weisen zudem darauf hin, dass MIUI-Builds auch für zahlreiche Geräte anderer Anbieter erhältlich sind.

Entdeckt wurde die Anfälligkeit in der MIUI-Version 6.1.8. Zu den anfälligen Apps zählt unter anderem der ab Werk vorinstallierte Browser. „Wenn eine anfällige App als System-Nutzer ausgeführt wird, würde ein großer Teil des Nutzerbereichs von Android kompromittiert“, schreiben die Forscher. Mindestens eine App erfülle dieses Kriterium und habe unter Laborbedingungen eine Remotecodeausführung ermöglicht.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Die Schwachstelle an sich steckt in der Update-Funktion. Sie aktualisiert das Analytics-Paket der fraglichen Apps über eine unsichere Verbindung wie HTTP. Bei einem Man-in-the-Middle-Angriff kann die URL, über die das eigentliche Update heruntergeladen wird, verändert werden, um ein schädliches Installationspaket (APK) einzuschleusen. Da keine kryptografische Echtheitsprüfung der Installationsdatei durchgeführt wird, wird im Rahmen des Updates das Analytics-Paket durch das schädliche Paket ersetzt.

Xiaomi hat die Sicherheitslücke inzwischen geschlossen. Die IBM-Forscher loben in dem Zusammenhang die Zusammenarbeit mit dem chinesischen Unternehmen und seine schnelle Reaktion. Das fehlerbereinigte Update auf die MIUI-Version 7.2 steht bereits zum Download bereit.

Die Forscher raten Entwicklern zudem, ausführbaren Code nur über eine verifizierte und verschlüsselte Verbindung zu übertragen. Darüber hinaus sei es erforderlich, den Code selbst zu signieren und dessen Echtheit vor der Ausführung durch die Host-Anwendung überprüfen zu lassen.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Security, Sicherheit, Smartphone, Xiaomi

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu IBM: Kritische Sicherheitslücke betrifft Millionen von Xiaomi-Smartphones

Kommentar hinzufügen
  • Am 12. Juli 2016 um 8:10 von Gast

    …man könnte fast auf die Idee kommen, Microsoft einen klugen Schachzug zuzuweisen, dass Sie auf dem Mobilmarkt eher im Hintergrund bleiben, und mehr den Background mit ihrer Cloud usw. abdecken, bzw. nur Apps/Services für Mobile anbieten, statt an vorderster Front mit Windows Mobile hart im Wind zu stehen, denn die Meldungen bez. Schwachpunkten außerhalb MS, allen voran Android, nimmt doch deutlich zu, wobei MS fein raus ist…noch…wenn HoloLens sich weiter verbreitet, wird auch das ein großer Angriffspunkt werden…meine komplette Wohnung wird damit erfasst, ja sogar, wo ich hinschaue…sämtliche Personen, die sich bei mir aufhalten…Wertgegenstände…Vorlieben…die Handy PIN, die ich aus versehen mit aufgesetzter Brille eingab, weil ich es aufgrund von Augmented Reality schlicht vergessen hatte, diese abzusetzen…oder beim Durchsehen des Geldbeutels mit dem PIN Zettel der EC-Karte…uups, eben das Masterpasswort zu Keypass eingegeben, mit Brille auf…wenn das kein lohnenswertes Ziel ist…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *