Ein auf niedrigpreisigen Smartphones verschiedener chinesischer Hersteller installierter Android-Updater reißt gleich mehrere bedrohliche Sicherheitslücken auf. Das hat eine Analyse der portugiesischen Sicherheitsfirma AnubisNetworks und ihrem US-Mutterunternehmen Bitsight ergeben. Betroffen sind mehrere Millionen Geräte und insgesamt rund 55 Smartphone-Modelle, die teilweise auch in Deutschland verkauft werden.
Die amerikanische Regierung warnt in diesem Zusammenhang vor Geräten, die unter Marken wie Beeline, Xolo, Iku Mobile, Doogee, Leagoo und Infinix Mobility vertrieben werden. Mit dabei sind auch wieder Geräte des US-Anbieters Blu, die unter anderem bei Amazon erhältlich sind. Auf Android-Smartphones dieser Marke wurde vor Kurzem erst eine Backdoor in der vorinstallierten App „Adups“ entdeckt, die die Nutzer überwachte und Daten nach China sandte.
Die jetzt aufgetauchten Schwachstellen finden sich im Android-Updater des chinesischen Unternehmens Ragentek, dessen Firmware die Hersteller der gefährdeten Geräte eingesetzt haben. Der erste Fehler besteht schon darin, dass über das Aktualisierungsverfahren bezogene OTA-Updates nicht verschlüsselt sind. Das macht anfällig für eine Man-in-the-Middle-Attacke (MITM). Unverschlüsselt schickt die Software nebenbei auch Gerätedaten wie IMEI und Telefonnummer nach Hause.
Darüber hinaus versucht sich die Software mit verschiedenen Methoden vor dem Nutzer zu verstecken und holt sich Root-Berechtigungen. Dieses Verhalten könnte laut US-CERT „als Rootkit beschrieben werden“. Aus der Ferne ist die Ausführung von Systembefehlen möglich. Übernimmt ein Angreifer das unverschlüsselte Update-Verfahren, kann er auf dem Gerät Malware installieren und die persönlichen Informationen des Nutzers ausspähen.
Die ab Werk unsichere Android-Firmware von Ragentek fragt außerdem bei drei Websites wegen Updates an, wie die Sicherheitsforscher herausfanden. Als grob fahrlässig erschien ihnen dabei, dass zwei dieser Domains noch nicht einmal registriert waren. Zum Schutz der gefährdeten Nutzer registrierte AnubisNetworks daher diese beiden Domains selbst. Dort meldeten sich bislang 2,8 Millionen verschiedene Geräte mit der dubiosen Firmware.
„Hätte ein Gegenspieler das bemerkt und diese beiden Domains registriert, dann hätte er augenblicklich und willkürlich fast 3 Millionen Geräte angreifen können, ohne eine Man-in-the-Middle-Attacke ausführen zu müssen“, heißt es in der Analyse der Sicherheitsforscher. „AnubisNetworks kontrolliert jetzt diese beiden fremden Domains, um in diesem Fall mögliche künftige Angriffe zu verhindern.“
Weiterhin möglich bleiben aber Man-in-the-Middle-Angriffe. Laut US-CERT scheint Blu diese Gefahr inzwischen durch ein Update behoben zu haben. Da jedoch nur etwa ein Viertel der betroffenen Geräte von diesem Anbieter stammen, sind demnach noch immer Millionen Android-Smartphones unmittelbar bedroht. 
Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Rootkit macht Millionen Android-Smartphones unsicher
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.