Rootkit macht Millionen Android-Smartphones unsicher

Ein Android-Updater der chinesischen Firma Ragentek verschlüsselt die Daten nicht. Das ermöglicht Man-in-the-Middle-Angriffe und mehr. Die von US-CERT als Rootkit beschriebene Software versteckt sich vor dem Nutzer und verfügt über weitgehende Berechtigungen.

Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf. Das hat eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight ergeben. Betroffen sind mehrere Millionen Geräte und insgesamt rund 55 Smartphone-Modelle, die teilweise auch in Deutschland verkauft werden.

Smartphone Hacker (Bild: Shutterstock/drical)

Die amerikanische Regierung warnt in diesem Zusammenhang vor Geräten, die unter Marken wie Beeline, Xolo, Iku Mobile, Doogee, Leagoo und Infinix Mobility vertrieben werden. Mit dabei sind auch wieder Geräte des US-Anbieters Blu, die unter anderem bei Amazon erhältlich sind. Auf Android-Smartphones dieser Marke wurde vor Kurzem erst eine Backdoor in der vorinstallierten App „Adups“ entdeckt, die die Nutzer überwachte und Daten nach China sandte.

Die jetzt aufgetauchten Schwachstellen finden sich im Android-Updater des chinesischen Unternehmens Ragentek, dessen Firmware die Hersteller der gefährdeten Geräte eingesetzt haben. Der erste Fehler besteht schon darin, dass über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt sind. Das macht anfällig für eine Man-in-the-Middle-Attacke (MITM). Unverschlüsselt schickt die Software nebenbei auch Gerätedaten wie IMEI und Telefonnummer nach Hause.

Darüber hinaus versucht sich die Software mit verschiedenen Methoden vor dem Nutzer zu verstecken und holt sich Root-Berechtigungen. Dieses Verhalten könnte laut US-CERT „als Rootkit beschrieben werden“. Aus der Ferne ist die Ausführung von Systembefehlen möglich. Übernimmt ein Angreifer das unverschlüsselte Update-Verfahren, kann er auf dem Gerät Malware installieren und die persönlichen Informationen des Nutzers ausspähen.

Die ab Werk unsichere Android-Firmware von Ragentek fragt außerdem bei drei Websites wegen Updates an, wie die Sicherheitsforscher herausfanden. Als grob fahrlässig erschien ihnen dabei, dass zwei dieser Domains noch nicht einmal registriert waren. Zum Schutz der gefährdeten Nutzer registrierte AnubisNetworks daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.

„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“, heißt es in der Analyse der Sicherheitsforscher. „AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“

Weiterhin möglich bleiben aber Man-in-the-Middle-Angriffe. Laut US-CERT scheint Blu diese Gefahr inzwischen durch ein Update behoben zu haben. Da jedoch nur etwa ein Viertel der betroffenen Geräte von diesem Anbieter stammen, sind demnach noch immer Millionen Android-Smartphones unmittelbar bedroht.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Mobile, Sicherheit, Smartphone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Rootkit macht Millionen Android-Smartphones unsicher

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *