Mobile Sicherheit
Nagelneue Android-Smartphones werden mit vielen Sicherheitslücken ausgeliefert
Zu diese Ergebnis kommt eine neue Analyse des Sicherheitsunternehmens Kryptowire, die 146 CVE- Schwachstellen bei Geräten von 29 Smartphone-Herstellern aufgedeckt haben. Auch wenn in dieser Liste nicht alle 146 Schwachstellen detailliert aufgeführt werden, dürfte allein die Menge an Schwachstellen die meisten Benutzer überraschen.
Dabei muss man sich vorstellen, dass die Smartphones noch nie im Einsatz waren, geschweige denn eine zweifelhafte App heruntergeladen haben. Diese Sicherheitsprobleme werden dem Käufer beim Kauf bereits mitgeliefert. Es sind keine Schwachstellen, die durch die Verwendung des Smartphones entstehen. Die Sicherheitslücken beziehen sich überwiegend auf folgende Bereiche: Änderung der Systemeigenschaften (28,1%), die App-Installation (23,3%), die Befehlsausführung (20,5%) und die WLAN-Einstellungen (17,8%).
Ursache für die Schwachstellen ist die herstellerspezifische Software, die zusätzlich zu Android selbst oder seinen Google-Anwendungen installiert wird. Wie bei einigen Android- und Google-Anwendungen können diese jedoch später nicht mehr deinstalliert werden. Die einzige Möglichkeit, einen dieser Fehler zu beheben, besteht darin, dass der Smartphone-Hersteller über das Problem informiert wird und eine Fehlerbehebung durchführt.
Im August 2019 hielt Google Project Zero-Forscherin Maddie Stone auf der Black Hat Konferenz eine Präsentation , um auf das Problem von vorinstallierter Malware hinzuweisen, die sie und ihre Kollegen auf verschiedenen Android-Geräten in der Lieferkette entdeckt hatten.
Auch wenn diese Malware absichtlich installiert wurde und nicht die Folge von anfälliger Software ist, bleibt der Effekt für den Benutzer der Gleiche. Er merkt es oft nicht und falls doch, kann er unmittelbar nichts daran ändern, außer das Gerät auszuschalten. In einem Beispiel gelang es dem Chamois-Botnet für SMS- und Klickbetrug, 21 Millionen Geräte zu infizieren. Auch nach einer konzertierten Aufräumaktion, konnte sich das Botnet zwei Jahre später immer noch an die Geräte von fast 7,4 Millionen Opfern klammern.
Was sind die Probleme?
Kryptowire führt als eines der Probleme die komplexen Hardware- und Softwarelieferketten auf, die nicht regelmäßig überprüft und bei der Zusammensetzung eines Smartphones zu leichtfertig vertraut werden. Zudem sollten die Hersteller weniger hardware-gebundene Software auf den Geräten implementieren, die vom Benutzer nicht mehr deinstalliert werden können.
Zweifellos würde es schon mal helfen, wenn Android-Gerätehersteller mehr Zeit damit verbringen würden, ihre Produkte zumindest auf Schwachstellen zu untersuchen, die von Sicherheitsunternehmen nach der Auslieferung sehr leicht aufgedeckt werden können.
Naked Security by Sophos
