Wenn Sie ein Android-Smartphone kaufen, ist es selten reines Android. Hersteller quetschen ihre eigenen Apps ein oder geben ihr eine neue Oberfläche. Träger tun es auch. Der daraus resultierende Eintopf vorinstallierter Software und von Vanille-Android-Geräten erweist sich manchmal als ranzig und führt zu Fehlern und Sicherheitslücken auf dem Telefon, noch bevor Sie es aus der Verpackung nehmen. Schauen Sie sich die 146 Sicherheitslücken an, die 29 Android-Smartphone-Hersteller gleichzeitig entdeckt haben, um zu beweisen, wie schlimm sie sind.
Ja, das sind 146, die alle von der Sicherheitsfirma Kryptowire entdeckt und nacheinander in einer neuen gigantischen Enthüllung aufgeführt wurden. Die meisten der betroffenen Unternehmen sind hauptsächlich in Asien tätig, aber die Liste umfasst auch globale Schwergewichte wie Samsung und Asus. Die Schwere und der Umfang der Fehler sind unterschiedlich - und in einigen Fällen bestreiten die Hersteller, dass sie überhaupt eine Bedrohung darstellen -, doch sie veranschaulichen ein endemisches Problem für Android, das Google erkannt hat.
Die Sicherheitslücken, die Kryptowire in einer vom Department of Homeland Security finanzierten Studie entdeckt hat, umfassen alles, von nicht autorisierten Audioaufzeichnungen über die Befehlsausführung bis hin zur Möglichkeit, Systemeigenschaften und WLAN-Einstellungen zu ändern. Was sie jedoch so verderblich macht, ist, wie sie auf Telefone gelangen und wie schwer sie zu entfernen sind.
„Wir wollten verstehen, wie einfach es für jemanden ist, in das Gerät einzudringen, ohne dass der Benutzer eine Anwendung herunterlädt“, sagt Angelos Stavrou, CEO von Kryptowire. „Wenn das Problem im Gerät liegt, hat der Benutzer keine Optionen. Da der Code tief im System vergraben ist, kann der Benutzer in den meisten Fällen nichts tun, um die fehlerhafte Funktionalität zu entfernen. “
Es ist eine Sache, wenn Sie auf einen zwielichtigen Fortnite-Download hereinfallen. Zumindest haben Sie diese Wahl getroffen, und Sie können sie auch deinstallieren. Die gefundenen Schwachstellen von Kryptowire sind häufig auf Systemebene vorinstalliert, ohne dass Sie sie von Ihrem Gerät entfernen können.
"Ich glaube, dass im Wettlauf um billige Geräte die Qualität der Software auf eine Weise beeinträchtigt wird, die den Endbenutzer bloßstellt."
Angelos Stavrou, Kryptowire
Wenn das alles irgendwie vertraut klingt, dann deshalb, weil Kryptowire schon einmal auf diesem Weg war. Vor etwas mehr als einem Jahr wurden die Ergebnisse einer ähnlichen Forschungsrunde veröffentlicht, bei der dieselbe Klasse von Defekten in 10 beliebten Android-Geräten gefunden wurde. Der Unterschied besteht jetzt - und der Grund, warum die Arbeit so viel umfassender ist - darin, dass das Team ein Tool entwickelt hat, mit dem die Firmware auf Probleme überprüft wird, auch wenn das Gerät physisch nicht zur Hand ist. Das System von Kryptowire erstellt dann innerhalb weniger Minuten automatisch einen Proof of Concept, der die Existenz der Sicherheitsanfälligkeit überprüft und Fehlalarme reduziert. Das Tool sucht nach "unsicheren Zuständen", wie Stavrou es ausdrückt, die es einer Anwendung ermöglichen würden, einen Screenshot aufzunehmen, Audio aufzunehmen oder eine Netzwerkverbindung herzustellen, wenn dies nicht der Fall sein sollte.
Oft kommt es auf das Vertrauen an. Viele der von Kryptowire gefundenen Sicherheitslücken ermöglichen Apps, Einstellungen ohne Ihr Wissen oder Ihre Zustimmung zu ändern.
"Wir glauben, dass Sie als Anbieter keinem anderen vertrauen sollten, dass er die gleichen Berechtigungen wie Sie im System hat", sagt Stavrou. "Dies sollte keine automatische Sache sein."
"Wir schätzen die Arbeit der Forschungsgemeinschaft, die mit uns zusammenarbeitet, um Probleme wie diese verantwortungsbewusst zu beheben und offenzulegen", heißt es in einer Erklärung von Google. Google hat einen eigenen Überprüfungsprozess namens Build Test Suite, der die Software auf potenziell schädliche vorinstallierte Apps überprüft. BTS wurde 2018 eingeführt und verhinderte in seinem ersten Jahr, dass 242 dieser problematischen Installationen die Verbraucher erreichten.
Die Kryptowire-Forschung legt nahe, dass BTS Raum für Verbesserungen bietet. Fairerweise ist es ein Problem von enormer Tragweite. Laut einer Präsentation der Google-Sicherheitsforscherin Maddie Stone zu diesem Thema werden auf jedem Android-Gerät 100 bis 400 vorinstallierte Apps ausgeliefert. Viele dieser Apps stammen nicht von dem Unternehmen, das das physische Gerät herstellt, sondern von Drittanbietern, die den Code für verschiedene Aufgaben unter der Haube bereitstellen, oder von Netzbetreibern, die ein großes Interesse an Nachrichten und Zahlungen haben. Die meisten Hersteller sind nicht in der Lage, all diese Apps auf potenzielle Risiken zu analysieren, und selbst die größten lassen noch einen Einfluss auf die Betreiber zu.
„An dem Ökosystem sind Hunderte von Anbietern beteiligt, die nicht unbedingt zusammenarbeiten oder über einen Prozess zur Qualitätssicherung verfügen. Oder sie haben mehr als andere “, sagt Stavrou. "Und im Wettlauf um billige Geräte wird meiner Meinung nach die Qualität der Software auf eine Weise beeinträchtigt, die den Endbenutzer bloßstellt."
Kryptowire begann im Laufe des Sommers damit, Google und die 29 Hersteller über seine Ergebnisse zu informieren. Nicht alle Betroffenen sind sich einig, dass die Ergebnisse alles sind, was sie betrifft. Kryptowire hat 33 Schwachstellen in Samsung-Geräten aufgedeckt, die auf sechs vorinstallierten Apps beruhen. (Es wurden auch Fehler in zwei zusätzlichen Apps gefunden, die jedoch nur in Firmware-Images vorhanden waren, in die schlechte Akteure Malware injiziert hatten, und die nicht im Abschlussbericht enthalten waren.)
Zwei dieser sechs wurden von externen Partnern entwickelt; Obwohl sie immer noch Samsung-Geräte betreffen, verwies der Unterhaltungselektronik-Riese die Forscher an diese anderen Unternehmen. Für die verbleibenden vier macht Samsung geltend, dass das umfassendere Android-Sicherheits-Framework sie harmlos macht. "Seitdem wir von Kryptowire benachrichtigt wurden, haben wir die fraglichen Apps umgehend untersucht und festgestellt, dass bereits geeignete Schutzmaßnahmen vorhanden sind", heißt es in einer Erklärung von Samsung.
Kryptowire ist anderer Meinung. „Die Samsung-Apps können von Drittanbietern in der Lieferkette verwendet werden, um auf Informationen zuzugreifen, ohne diese offenzulegen oder Berechtigungen zu benötigen“, sagt Tom Karygiannis, Vice President of Product des Unternehmens. "Das aktuelle Design des Android Security Frameworks verhindert dies nicht."
