Dritte Sicherheitslücke entdeckt: Android im Visier

Berlin - Aller schlechten Dinge sind drei. Bereits zum dritten Mal haben Sicherheitsexperten in kurzer Zeit eine gravierende Schwachstelle im Smartphone-System Android entdeckt. Die jüngste Lücke, die Sicherheitsexperten von IBM jetzt bekannt gemacht haben, betrifft rund die Hälfte der insgesamt über eine Milliarde mobilen Geräte mit diesem System. In Deutschland kommt Android auf einen Marktanteil von 75,1 Prozent, auf Apples iPhones entfallen 13,2 Prozent.

Über die von IBM entdeckte Schwachstelle in den Android-Versionen 4.3 bis 5.1 können Angreifer auf sämtliche Daten des Smartphones zugreifen oder die komplette Kontrolle über das Handy übernehmen, so auch auf Mikrofon und Kamera. In einem Video demonstriert IBM, wie auf einem infizierten Smartphone die Facebook-App gegen eine fiktive Fake-App ersetzt wird. Genauso könnte jede beliebige andere App gegen eine Spähsoftware getauscht werden. IBM warnt vor einer „Super-App mit nahezu vollem Zugriff“.

Das Update von Google schützt bislang nur Nexus-Smartphones

Google hat zwar bereits einen Patch veröffentlicht, mit dem die Lücke geschlossen werden kann. Allerdings gibt es dieses Update bislang nur für Smartphones der Nexus-Reihe. Das liegt an einer Besonderheit dieser im Auftrag von Google produzierten Geräte, die grundsätzlich mit einer unveränderten Android-Version ausgeliefert werden. Google nutzt die Nexus-Smartphones als Referenzgeräte, um die Fähigkeiten neuer Android-Versionen zu demonstrieren. Die meisten anderen Hersteller liefern ihre Geräte hingegen mit eigenen Nutzeroberflächen und mit zusätzlichen, zumeist selbst entwickelten Apps aus, um sich im Wettbewerb voneinander abzuheben. Das verzögert die Anpassung und Auslieferung der Updates.

Vor wenigen Wochen waren bereits zwei andere Android-Sicherheitslücken bekannt geworden. Die „Stagefright“-Lücke betrifft sogar fast jedes Smartphone und Tablet mit dem von Google entwickelten System. Es stellt sich somit die Frage, ob es ein Unternehmen noch verantworten kann, seine Mitarbeiter mit Android-Smartphones auszurüsten? Oder wie wichtig es für Konsumenten ist, bei der Entscheidung für das nächste Smartphone die Update-Politik des Herstellers zu berücksichtigen?

"Es gibt keinen Grund, Android-Smartphones zu meiden"

Künftig komplett auf Android-Mobilgeräte zu verzichten, sei nicht nötig, sind sich die Experten einig. „Man muss das Kind nicht mit dem Bade ausschütten, wie man bei Windows sieht“, sagt IBM-Sprecher Hans Rehm. Bei dem Computersystem gebe es ebenfalls immer neue Lücken, die dann aber auch geschlossen würden.

Der Karlsruher IT-Sicherheitsexperte Christoph Fischer rät auch kleineren Unternehmen dringend zum Einsatz von zentralen Systemen zum Management der Sicherheit mobiler Geräte. Bei Großunternehmen seien diese inzwischen weit verbreitet. „Damit können wichtige Updates direkt nach Bereitstellung ferngesteuert auf den Mobilgeräten eingespielt werden. Ohne solche Systeme muss darauf gewartet werden, dass die Mobilfunkprovider die Updates ihren Kunden bereitstellen.“ In dieser Zeit bleiben die Smartphones und die darauf gespeicherten Daten ungeschützt. Ein weiterer Vorteil des Sicherheitsmanagements: Solche Lösungen bieten mitunter sogar „virtuelle Updates“, mit denen bis zur Bereitstellung des Hersteller-Updates gefährdete Funktionen deaktiviert werden, sagt IBM-Mann Rehm.

Andreas Marx vom Magdeburger IT-Sicherheitsunternehmen AV Test bemängelt die grundsätzlichen Defizite in der Update-Versorgung von Android-Handys. „Das Risiko, dass die neue Sicherheitslücke großflächig ausgenutzt werde, ist im Moment nicht so hoch. Während der Sommerzeit bedeutet das für die Angreifer zu viel Aufmerksamkeit. Doch ,Stagefright‘ zeigt, dass es durchaus gezielte Angriffe gibt“, sagt der Geschäftsführer des Testlabors, das regelmäßig Sicherheitsprogramme für Computer und Mobilgeräte analysiert. Marx plädiert dafür, dass die Hersteller zu festen Update-Zyklen kommen.

Bis es dazu kommt, können sich Konsumenten aber auch selbst schützen. Grundsätzlich sollte das Smartphone oder Tablet so eingerichtet sein, dass Updates sofort installiert werden. Apps sollten darüber hinaus nur aus sicheren Quellen installiert werden. Bei Android-Smartphones ist dies der App-Store Google Play. Neue Apps werden vor der Aufnahme in die Stores auf Sicherheitslücken getestet. Die von IBM entdeckte Lücke wird so nur wirksam, wenn der Smartphone-Besitzer eine speziell präparierte App installiert.

Konsumenten sollten ihr Verhalten an die Risiken anpassen, raten die Experten

In manchen Fällen ist es nötig, bis zur Veröffentlichung eines Patches die Smartphone-Nutzung einzuschränken. „Stagefright“ verbreitet sich unter anderem durch MMS-Nachrichten, auf die man vorerst verzichten sollte. Zudem raten die Experten vom Gebrauch älterer Android-Handys ab, für die es meist keine Updates mehr gibt. „Da hilft es auch nicht, auf bestimmte Funktionen zu verzichten, wenn ein gehacktes Handy teure Nachrichten verschickt“, sagt Virenexperte Marx.