Amazon hat drei Sicherheitslücken im Betriebssystem seines bisher einzigen Smartphones gestopft. Zwei ermöglichten theoretisch eine Überwachung der Kommunikation durch Man-in-the Middle-Angriffe. Amazon reagierte damit auf eine Warnung von MWR Labs zu Fire OS, die es am 19. Januar erhielt und die Ende vergangener Woche öffentlich gemacht wurde.
Die erste Schwachstelle im Paket CertInstaller ermöglicht eine stillschweigende Installation von Zertifikaten, ohne dass der Anwender zustimmen muss. Somit könnte sich ein Angreifer als Man-in-the-Middle in vermeintlich sichere Kommunikation einklinken und sie mithören.
Das Advisory (PDF) warnt Nutzer vor allem vor dem Fall einer Information, ein neues Zertifikat sei installiert worden. Solche Zertifikate sollten sofort gelöscht und alle zuletzt installierten Anwendungen wegen Malwareverdachts entfernt werden. Diese Installationsmeldung ist der einzige Hinweis auf die Infektion, den ein Anwender von selbst zu sehen bekommt.
Die zweite Schwachstelle (PDF) besteht in einer mangelhaften Überprüfung der eindeutigen Kennung eines Geräts (UID). Sie könnte ebenfalls genutzt werden, um einen Man-in-the-Middle-Angriff auszuführen.
Die dritte und letzte Schwachstelle besteht in einer nicht ausreichend abgesicherten USB-Debugging-Möglichkeit. So gab es keine Abfrage, ob Fire-Phone-Nutzer einen neuen USB-Host akzeptieren wollten, und selbst bei gesperrten Geräten war ein Zugriff auf die Android Debug Bridge möglich. Somit konnte ein Angreifer mit Zugriff aufs gesperrte Gerät Anwendungen installieren oder deinstallieren oder unter Umgehung der Gerätesperre Daten stehlen.
Fire OS ist ein Android-Derivat von Amazon mit eigenen Erweiterungen, etwa dem Browser Silk. Die aktuelle Version Sangria basiert auf Android 4.4 KitKat. Es kommt auch auf Tablets der Kindle-Fire-Reihe zum Einsatz, diese werden in den Sicherheitsmeldungen von MWR Labs jedoch nicht als anfällig erwähnt.
Das im Juni 2014 vorgestellte Fire Phone hat die Verkaufserwartungen nicht erfüllt und Amazon zu einer hohen Abschreibung von 170 Millionen Dollar gezwungen. Diese Belastung führt der Onlinehändler in seiner Quartalsbilanz für das dritte Quartal 2014 vorrangig zurück auf „die Inventarbewertung des Fire Phone und Kostenverpflichtungen gegenüber den Lieferanten“. An Lager waren zu diesem Zeitpunkt noch Smartphones im Wert von rund 83 Millionen Dollar, wie Finanzchef Tom Szkutak berichtete. Das Fire Phone bezeichnete er als „ein gutes Gerät in einem stark umkämpften Markt“.
Im vergangenen Dezember erklärt Amazon-CEO Jeff Bezos offenbar ebenfalls mit Bezug aufs Fire Phone, er werde weiter Risiken eingehen. „Einige wenige große Erfolge kompensieren Dutzende und Aberdutzende Dinge, die nicht funktioniert haben.“ Manchmal benötige man „mehrere Anläufe“, um etwas richtig hinzubekommen. „Was das Smartphone betrifft, bitte ich Sie, noch etwas abzuwarten.“
Inzwischen ist das Fire Phone nicht mehr verfügbar. Einen Nachfolger hat Amazon bisher ebenfalls nicht präsentiert.
[mit Material von Charlie Osborne, ZDNet.com]
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.