Skip to content

Drucksache: Mobile Technology 4.2015 - Android auf der Black Hat USA 2015

Im Magazin Mobile Technology 4.2015 ist ein Artikel über die auf der Black Hat USA 2015 vorgestellten Schwachstellen in und Angriffe auf Android wie Stagefright und Certifi-gate erschienen.

Die Sicherheitsforscher haben auf der Black Hat USA sehr viele sehr interessante Vorträge gehalten. Ganz vorne mit dabei: Android. Mit dessen Sicherheit sieht es zur Zeit also nicht so besonders gut aus. Denn Lobeshymnen wurden da eher nicht gesungen.

Von den Vorträgen stechen zwei heraus:

  1. Der zu den Stagefright-Lücken, die bisher zum Glück nicht ausgenutzt wurden. Denn die Patches dafür haben längst noch nicht alle Geräte erreicht und werden das vielleicht auch nie tun. Und
  2. Certifi-Gate, dass bereits von einer App ausgenutzt wurde, wenn auch, um im Sinne des Benutzers zu handeln. Aber es ist nicht gesagt, dass es nicht auch bösartige Apps in den Play Store und die anderen App-Märkte geschafft haben, die über Certifi-Gate die Plug-Ins missbrauchen, um eine Hintertür zu implementieren.

Die restlichen Vorträge geben auch nicht gerade Anlass zu Freude, wenn man mal von der Analyse der Schadsoftware absieht. Vor allem das Ausspähen bzw. Missbrauchen von Fingerabdrücken könnte noch zu einem Problem werden. Und auch abseits der Black Hat wurden und werden ja laufend weitere Schwachstellen und Angriffe vorgestellt. Da haben Google und die App-Entwickler noch einiges zu tun.

Und nach der Konferenz ist bekanntlich vor der Konferenz - die Stagefright-Lücken 2.0 lassen Schlimmes erwarten. Wie viele Schwachstellen da wohl noch drin stecken?

Auf jeden Fall brauchen wir schnellstmöglich ein sicheres Patch-Verfahren für alle Android-Geräte. Die Ansätze von Google und Samsung für regelmäßige Patchdays sind zwar lobenswert, verlaufen aber im Sande, wenn die Provider nicht mitziehen und die Updates ihrerseits an ihre Kunden weiterleiten. Außerdem müssen auch alle anderen Hersteller von Android-Geräten mit ins Boot.

Also Leute, ihr habt es gemeinsam verbockt, nun zieht die Karre gefälligst gemeinsam aus dem Dreck! Wenn gar nichts anderes hilft muss notfalls Google Druck auf Hersteller und Provider ausüben, denn am Ende sind es für die Öffentlichkeit immer "Android-Geräte", die angegriffen werden. Keine bestimmten Modell bestimmter Hersteller, keine Geräte in einem bestimmten Netz (von lokalen Angriffen mal abgesehen), einfach nur "Android-Telefone", "-Tabletts", was auch immer.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks