Android: Riesige Sicherheitslücke bedroht wohl viele Smartphones von Samsung, Xiaomi, LG und anderen
Das könnte noch schwere Folgen für das Android-Ökosystem haben: Wie erst jetzt bekannt geworden ist, sind bereits vor einigen Wochen Zertifikate großer Smartphone-Hersteller geleakt worden und ermöglichen es Angreifern, Apps mit diesen zu signieren und somit als vermeintlich sicher einzustufen. Diese dadurch entstandene klaffende Lücke wird wohl bereits aktiv ausgenutzt, sodass aktuell erhöhte Vorsicht geboten ist.
Große Smartphone-Hersteller wie Samsung, Xiaomi und Unternehmen wie LG oder Mediatek sind derzeit von einem Leak betroffen, der die Zertifikate dieser Hersteller öffentlich gemacht hat. Diese Zertifikate werden für die Signierung von Apps gegenüber dem Android-Betriebssystem genutzt und geben diesen damit deutlich höhere Prioritäten und Rechte. Nur mit diesen Zertifikaten können System-Apps aktualisiert oder neue installiert werden.
Weil diese Schlüssel nun kursieren, können Angreifer manipulierte Apps oder eigene Anwendungen in Umlauf bringen und umfangreichen Zugriff auf die Smartphones der Nutzer erhalten. Die Lücke wird wohl bereits aktiv ausgenutzt und ist seit spätestens 11. November bekannt. Mittlerweile haben die Hersteller und auch Google reagiert und es wurden neue Zertifikate ausgestellt. Dennoch bleiben die alten wohl auf einer unbekannten Zahl von Geräten gefährlich.
Derzeit gibt es nur wenige Details und technisch ist das Ganze etwas komplizierter als man zuerst annehmen würde. Ich würde vermuten, dass alle nicht mehr mit Updates versorgten Geräte wohl dauerhaft von der Lücke betroffen sein werden. Es empfiehlt sich daher dringend, nur Apps aus vertrauenswürdigen Quellen wie dem Google Play Store zu beziehen – allen voran bei offiziellen Apps der großen Hersteller.
Folks, this is bad. Very, very bad. Hackers and/or malicious insiders have leaked the platform certificates of several vendors. These are used to sign system apps on Android builds, including the "android" app itself. These certs are being used to sign malicious Android apps! https://t.co/lhqZxuxVR9
— Mishaal Rahman (@MishaalRahman) December 1, 2022
Why is that a problem? Well, it lets malicious apps opt into Android's shared user ID mechanism and run with the same highly privileged user ID as "android" – android.uid.system. Basically, they have the same authority/level of access as the Android OS process!
— Mishaal Rahman (@MishaalRahman) December 1, 2022
In den nächsten Tagen dürften wohl weitere Details folgen, über die wir euch natürlich auf dem Laufenden halten. Bis dahin könnt ihr euch über die technischen Hintergründe bei Android-Experte Mishaal Rahman informieren. Schon die Einleitung für seinen Twitter-Thread zeigt, dass bei Android derzeit das Dach brennt: „Leute, das ist schlecht. Wirklich sehr sehr schlecht“. Hoffen wir, dass Google zeitnah informiert.
# | Vorschau | Produkt | Preis | |
---|---|---|---|---|
1 | Google Pixel 8a: Android-Smartphone ohne SIM-Lock mit fortschrittlicher Pixel-Kamera, Langer... | 549,00 EUR 412,00 EUR | Bei Amazon kaufen | |
2 | Google Pixel 7a und Ladegerät – 5G-fähiges-Android-Smartphone ohne SIM-Lock, mit... | 379,00 EUR 368,99 EUR | Bei Amazon kaufen | |
3 | Google Pixel 8 – Android-Smartphone ohne SIM-Lock mit leistungsstarker Pixel-Kamera, 24 Stunden... | 859,00 EUR 585,99 EUR | Bei Amazon kaufen | |
4 | Google Pixel 7a – 5G-fähiges-Android-Smartphone ohne SIM-Lock, mit Weitwinkelobjektiv sowie... | 447,15 EUR 334,99 EUR | Bei Amazon kaufen |
Letzte Aktualisierung am 2024-11-02 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Und genau aus diesen genannten Gründen,benutze ich sowohl ein iPhone,als ein iPad von Apple.
Weil es einfach passt und Apple es nicht egal ist und es selbst,nach diesen 5-6 Jahren Updatedauer,auch weiterhin von Apple gepflegt wird.
Eigentlich müsste es Apple nach dieser Dauer nicht mehr tun und trotzdem tun sie aus Kulanz!!
Das letzte Update gab es für das iPhone 5s mit IOS 12.5.6,im August 2022 !!👌
https://support.apple.com/de-de/HT201222
Was von ist nur aus Google geworden ?