Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Nutzerdaten in Gefahr

Diese 25 Android-Geräte sind schon ab Werk unsicher

Frau betritt Hotelzimmer mit digitalem Zimmerschlüssel
Ein vierstelliger Code kann genügen, um das Smartphone sicher vor fremden Zugriffen zu schützen. Die Zahlen sollten aber vernünftig gewählt werden. Foto: Getty Images
Adrian Mühlroth
Redakteur

14. August 2018, 16:11 Uhr | Lesezeit: 4 Minuten

Auf einer Sicherheitskonferenz in Las Vegas machte das Unternehmen Kryptowire bekannt, dass 25 Android-Geräte bereits ab Werk teils schwere Sicherheitslücken aufweisen. Dabei sind Tablets und Smartphones von namhaften Herstellern wie Sony, LG, ASUS und Nokia.

Artikel teilen

Das Sicherheitsunternehmen Kryptowire hat letzte Woche auf der DefCon in Las Vegas bekanntgegeben, dass es nach eingehenden Tests bei 25 Android-Geräten insgesamt 38 Sicherheitslücken gefunden hat. Die Sicherheitslücken betreffen sowohl Einsteiger- als auch High-End-Geräte und kommen direkt mit den Smartphones. Das heißt, dass bereits beim Auspacken des Smartphones die Sicherheitslücke vorhanden ist und Nutzerdaten damit angreifbar sind.

Welche Geräte und welche Android-Version sind betroffen?

Hier sind die betroffenen Geräte von bekannteren Hersteller aufgelistet, sowie die Android-Versionen, unter der die Sicherheitslücken auftreten, in Klammern:

Alcatel: A30 (7.0)

ASUS: ZenFone 3 Max (7.0), ZenFone V Live (7.0)

Doogee: X5 (6.0)

Essential: Essential Phone (7.1.1)

Leagoo: P1 (7.0), Z5C (6.0)

LG: G6 (7.0)

Nokia: Nokia 6 (7.1.1)

Oppo: F5 (7.1.1)

Sony: Xperia L1 (7.0)

Vivo: V7 (7.1.2)

ZTE: Blade Spark (7.1.1), Blade Vantage (7.1.1), ZMAX Pro (6.0.1), ZMAX Champ (6.0.1)

Welche Folgen haben die Sicherheitslücken?

Die meisten Attacken, die von Kryptowire getestet wurden, setzen die Installation einer App auf dem Smartphone voraus. Nutzer, die nur Apps aus Googles geschütztem Play Store installieren, sind also in den meisten Fällen nicht betroffen. Aber gerade angesichts der Ankündigung des Spieleherstellers Epic Games, sein Spiel Fortnite für Android-Geräte nur auf der eigenen Internetseite anzubieten, entstehen für den Nutzer Gefahren, schädliche App aus Versehen herunterzuladen. Um das Spiel zu installieren, muss die Installation von Apps aus unbekannten Quellen gestattet werden, die schädlicher Software Tür und Tor öffnet. Der Nutzer muss beim Download nur auf eine fremde Seite umgeleitet werden, die der Originalen täuschend ähnlich sieht und dort die mit Schadsoftware bestückte Apps herunterladen.

Laut Angelos Stavrou, dem Gründer von Kryptowire, sind die Sicherheitslücken so fatal, weil die schädlichen Apps oft keine speziellen Berechtigungen benötigen und den Nutzer deswegen nicht mal austricksen muss, um Zugriff auf persönlich Daten zu bekommen. Die Apps nutzen einfach die fehlerhafte Firmware oder vorinstallierten Apps des Herstellers.

Auch interessant:Der beste Virenschutz für Android-Nutzer

Abgreifen von Passwörtern und Screenshots

Schädliche Apps können je nach Gerät verschiedene Auswirkungen haben. Bei ZTE-Geräten können Apps auf SMS, Anruflisten und Systemlogs (Logcat), die sensible Daten wie E-Mail-Adressen und Standort speichern, zugreifen. Beim G6 von LG können Apps nicht nur Systemlogs lesen, sondern sogar den Nutzer aus seinem Gerät aussperren. Um wieder Zugriff zu erhalten, muss das Smartphone auf die Werkseinstellungen zurückgesetzt werden. Das Essential Phone hingegen kann durch eine App direkt auf die Werkseinstellungen zurückgesetzt werden, wodurch alle Dateien auf dem Gerät gelöscht werden. Eine fehlerhafte App auf dem ZenFone 3 Max von ASUS erlaubt Hackern Zugriff auf Systemdaten und WLAN-Passwörter. Beim Sony Xperia L1 und Nokia 6 können Screenshots ohne Mitwissen des Nutzers aufgenommen werden.

Neue Bluetooth-Sicherheitslücke betrifft Millionen Geräte
Mehr zum Thema

Wie reagieren die Hersteller?

Der Kommunikationsleister von Essential, Shari Doherty, verkündet, die Sicherheitslücke wurde nach Bekanntwerden sofort geschlossen. LG reagiert etwas gelassener und ließ in einer Pressemitteilung verheißen, es habe die Sicherheitslücken bereits per Patch geschlossen oder in geplanten Wartungsupdates adressiert. Auch ZTE habe bereits Sicherheitsupdates für einige Lücken veröffentlicht und arbeite gerade mit den Netzbetreibern daran, auch die restlichen zu schließen.

Obwohl es erfreulich ist, dass die Hersteller schnell reagieren, wird ein grundsätzliches Problem des Android-Betriebssystems sichtbar. Die Entwicklung der Sicherheitspatches kann lange dauern und sie müssen danach von Hersteller und Netzbetreiber autorisiert werden, bevor sie überhaupt beim Nutzer ankommen. Indessen kann dieser nichts tun, um sich selbst zu schützen oder überhaupt zu erkennen, dass ein Sicherheitsrisiko für ihn besteht.

TECHBOOK meint: Das Problem der Angreifbarkeit bleibt weiterhin bestehen, solange Smartphone-Hersteller die Praxis betreiben, ihren eigenen Code in das Android-Betriebssystem einzupflanzen. Google, das nur das Betriebssystem selbst bereitstellt, hat keine Handhabe darüber, wie die Hersteller damit umgehen. Es wird also auch in Zukunft Sicherheitsforschung wie die von Kryptowire geben müssen, die Sicherheitslücken erkennen und die Hersteller zur Handlung zwingen.

Themen Android Sicherheit
Technik-Angebote entdecken bei kaufDA
Logo KaufDA
Anzeige
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.