„Fragmentierung“ macht Android-Telefone anfällig für Hacker und Betrüger

Ende Oktober alarmierten Forscher der North Carolina State University Google zu einer Sicherheitslücke, die es Betrügern ermöglichen könnte, gefälschte Textnachrichten an Android-Telefone zu senden – eine Praxis namens „Smishing“, die Verbraucher in Betrug verwickeln kann.

Die Sicherheitsbeamten von Google antworteten innerhalb von Minuten, bestätigten den Fehler und versprachen, ihn zu beheben. Innerhalb weniger Tage hatten sie einen Fix in die neueste Version des Android-Betriebssystems Jelly Bean 4.2 eingebaut und ein Sicherheitsupdate für frühere Versionen bereitgestellt.

Aber für die meisten Android-Handys ist die Lösung nie angekommen. Für viele wird es das nie tun.

Dies liegt daran, dass nicht klar ist, welches Unternehmen – Google, der Smartphone-Hersteller oder der Mobilfunkanbieter, der es verkauft – die letztendliche Verantwortung für den kostspieligen Prozess trägt, Sicherheitsupdates für ein Android-Gerät zu erhalten. Es kann viele Monate dauern, bis die Behebung bekannter Sicherheitslücken einzelne Smartphones erreicht, wenn sie überhaupt eintreffen.

Das Problem, sagen Sicherheitsexperten, hat dazu beigetragen, dass das weltweit beliebteste mobile Betriebssystem anfälliger für Hacker, Betrüger und ein wachsendes Universum bösartiger Software ist als seine Konkurrenten.

1von 12 Vollbild-Autoplay Schließen Anzeige überspringen× Schnappschuss: 6 grundlegende Fragen zur Cybersicherheit Fotos ansehenZwei Jahrzehnte nach den ersten Warnungen vor „Hackern“ ist die Bedrohung nur noch gewachsen, da Einzelpersonen, Unternehmen und sogar Nationen gefährdet sind. Der Post-Reporter Robert O’Harrow Jr. beantwortet sechs Fragen zur persönlichen und nationalen Verletzlichkeit.Bildunterschrift Zwei Jahrzehnte nach den ersten Warnungen vor „Hackern“ ist die Bedrohung nur noch mit gefährdeten Einzelpersonen, Unternehmen und sogar Nationen gewachsen. Der Post-Reporter Robert O’Harrow Jr. beantwortet sechs Fragen zur persönlichen und nationalen Verletzlichkeit. Warten Sie 1 Sekunde, um fortzufahren.

Laut Experten bleiben Verstöße auf herkömmlichen Computern häufiger als auf Smartphones, die so entwickelt wurden, dass sie Sicherheitsfunktionen enthalten, die auf Desktop- oder Laptop-Computern nicht zu finden sind.

Aber veraltete Software kann solche Schutzmaßnahmen untergraben. Bei einem größeren Ausbruch bösartiger Software könnte die gebrochene Natur des Systems zur Bereitstellung von Updates die Bemühungen zum Schutz von Informationen auf Android-Telefonen – einschließlich Dokumenten, Passwörtern, Kontaktlisten, Bildern, Videos, Standortdaten und Kreditkartennummern – dramatisch verlangsamen.

Besonders gravierend sind die Risiken für Unternehmen und Behörden, deren immer beliebter werdende Bring-Your-Own-Device-Richtlinien neue potenzielle Portale für Spionage mit dem Ziel sicherer Computersysteme geschaffen haben.

„Es gibt potenziell Millionen von Androiden, die in den Arbeitsbereich eindringen und auf vertrauliche Dokumente zugreifen“, sagte Christopher Soghoian, ein ehemaliger Technologieexperte der Federal Trade Commission, der jetzt für die American Civil Liberties Union arbeitet. 'Es ist wie ein wirklich trockener Wald, der nur auf ein Streichholz wartet.'

Google-Ingenieure haben Android entwickelt, um Hackern zu widerstehen, und haben es kontinuierlich verbessert. Das Unternehmen hat auch daran gearbeitet, bösartige Software aus seinem App Store Google Play zu entfernen, um das Risiko einer möglichen Infektionsroute zu minimieren.

„Wir haben das System vom ersten Tag an entwickelt, um mit dieser Art von Welt fertig zu werden“, sagte Hiroshi Lockheimer, Vice President of Android Engineering. „Die Gesundheit des Android-Ökosystems ist uns sehr wichtig.“

Doch während jede neue Android-Generation Verbesserungen bietet, die neu entdeckte Angriffswege verschließen, hat das Unternehmen Schwierigkeiten, aktualisierte Software auf Smartphones zu bringen, die bereits in den Händen der Verbraucher liegen.

Die neueste Android-Version – die mit dem „Smishing“-Fix – wird laut Angaben von nur 1,4 Prozent der mehr als 500 Millionen Android-Geräte weltweit verwendet von Google zusammengestellte Daten . Das Unternehmen sagt, es habe auch einen Sicherheitspatch veröffentlicht, der den Fehler in früheren Android-Versionen beheben könnte, aber weder Google noch die Mobilfunkanbieter konnten sagen, wie viele aktuelle Telefone den Patch erhalten haben.

Ars Technica, eine Nachrichtenseite für die Technologiebranche, analysierte die Aktualisierungspläne für Dutzende der beliebtesten Android-Smartphones im Dezember und stellte fest, dass die meisten seit dem Kauf durch die Verbraucher, manchmal Jahre zuvor, nur zwei Updates erhalten hatten.

Äpfel iPhone, der führende Konkurrent von Android-Smartphones, erhält mehrmals im Jahr Betriebssystem-Updates. Ein ähnlicher Update-Zeitplan ist für Desktop- und Laptop-Betriebssysteme und andere Software üblich, wobei Updates automatisch erfolgen – oft ohne dass Benutzer es wissen.

Der Unterschied zu den Android-Smartphones besteht darin, dass es Dutzende von Geräten verschiedener Hersteller wie Samsung, LG und HTC gibt, die die Software und deren Updates auf ihre eigenen Spezifikationen zuschneiden. Dann Mobilfunkanbieter, wie z Verizon , AT&T und Sprint, nehmen Sie ihre eigenen Änderungen vor und testen Sie jedes Update, bevor Sie es über ihre drahtlosen Netzwerke an die Verbraucher senden.

Der gesamte Aktualisierungsprozess für Android-Telefone dauert in der Regel Monate und erfolgt weitaus seltener als von Sicherheitsexperten empfohlen, die die Verteilung der Verantwortung auf mehrere Unternehmen als „Fragmentierung“ bezeichnen. Auch die Schuld ist weit verbreitet, obwohl sie sich oft auf die Träger als wichtigste Engstelle konzentriert.

„Die Unterstützung von fünf Telefonversionen sind Kosten, die sie absolut nicht tragen möchten“, sagte Dmitri Alperovitch, Chief Technology Officer bei CrowdStrike, einem Sicherheitsunternehmen.

Kollektives Interesse

Mobilfunkanbieter geben an, dass sie versuchen, Updates umgehend zu veröffentlichen, räumen jedoch ein, dass der Prozess im Allgemeinen Monate dauert.

„Wenn mehr als ein Unternehmen an der Bereitstellung des Endprodukts beteiligt ist, wie es bei der Android-Umgebung der Fall ist, müssen alle Verbesserungen des Sicherheitsaktualisierungsprozesses alle beteiligten Einheiten einbeziehen“, sagte Ed Amoroso, Chief Security Officer bei AT&T. „Wir beabsichtigen, uns mit anderen Anbietern abzustimmen, um zu sehen, ob wir eine bessere Lösung entwickeln können als die, die wir jetzt haben.“

Verizon Wireless, der größte Mobilfunkanbieter, und Samsung, der größte Hersteller von Android-Geräten, lehnten es ab, detaillierte Fragen zu beantworten und sagten, dass sie Updates so schnell wie möglich liefern würden. Sprint lehnte zahlreiche Interviewanfragen ab und verwies Anfragen an Google.

Sicherheitsexperten sagen jedoch, dass Google allein wenig Macht hat, um schnellere Updates für Telefone zu erhalten. Es gründete 2011 zusammen mit Netzbetreibern und Geräteherstellern die Android Update Alliance, aber die Initiative hat wenig gebracht.

Letztes Jahr kaufte Google Motorola Mobility, einen führenden Hersteller von Mobilgeräten, was letztendlich zu schnelleren Updates für die Produkte dieses Unternehmens führen könnte.Googles Rekord bei der Aktualisierung von Software auf seiner eigenen Reihe von Telefonen und Tablets, genannt Nexus und in Zusammenarbeit mit anderen Herstellern produziert, ist besser als wenn Telefonhersteller das Android-System übernehmen, das Google kostenlos herstellt und vertreibt.

Das Ausmaß der Gefährdung von Smartphones ist unter Sicherheitsexperten umstritten. Alperovitch von CrowdStrike sagte, dass die meisten Verbraucher kaum einer Gefahr ausgesetzt sind, solange sie Apps über den Google Store kaufen und die wachsende Zahl von Drittanbieter-Shops, die in China und darüber hinaus populär geworden sind, nicht bevormunden.

Andere Experten sagen, dass das Risiko für alle Android-Benutzer real ist und wächst. McAfee, das Antiviren-Unternehmen, hat nach eigenen Angaben eine explosionsartige Zunahme bösartiger Software dokumentiert, die auf das Betriebssystem abzielt, das darauf läuft drei von vier neuen Smartphones weltweit. Einige bösartige Software stiehlt persönliche Informationen, während andere falsche Gebühren verursachen können, die auf den Handyrechnungen der Verbraucher erscheinen – und oft nicht erkannt werden.

Trend Micro, ein weiteres Sicherheitsunternehmen, hat über die Verbreitung von Android-basierten Botnets berichtet, die es Remote-Benutzern ermöglichen könnten, die Kontrolle über Tausende oder sogar Millionen von Geräten gleichzeitig zu übernehmen.

Für diejenigen, die sich in Smartphones hacken möchten, gibt es viele potenzielle Zugangswege: Browser, Textnachrichten, E-Mails, Mobilfunksignale, WLAN-Signale, Bluetooth-Verbindungen und für die neuesten Smartphones Nahfeldkommunikationsradios. Einige leistungsstarke Spionagesoftware, die normalerweise von Regierungen verwendet wird, ermöglicht es Hackern, Kameras oder Mikrofone einzuschalten, um Smartphone-Benutzer zu beobachten oder ihnen zuzuhören.

„Jetzt können sie Ihr Leben hacken, Ihr physisches Leben, nicht nur Ihr Cyberleben“, sagte Tom Kellermann, ein Vizepräsident von Trend Micro und Mitglied der Kommission für Cybersicherheit von Präsident Obama.

Solche Eingriffe sind schwierig und zeitaufwendig, was sie für normale Benutzer unwahrscheinlich macht. Sicherheitsexperten warnen jedoch davor, dass solche Taktiken gegen die wertvollsten Ziele wie Führungskräfte oder hochrangige Regierungsbeamte eingesetzt werden könnten, insbesondere wenn diese veraltete Software verwenden.

„Es ist im Wesentlichen das schwache Glied in der Kette“, sagte Pat Calhoun, Senior Vice President bei McAfee, einem Hersteller von Sicherheitssoftware. „Die Cyberkriminellen haben festgestellt, dass der beste Weg in das Unternehmen über das mobile Gerät ist.“

Schnelles Handeln gefragt

Es gibt kaum Hinweise darauf, dass sich die „Smishing“-Sicherheitslücke – so benannt, weil es sich um eine Version von „SMS-Phishing“ handelte, was bedeutet, dass Benutzer dazu gebracht werden sollten, auf einen bösartigen Link in einer gefälschten Textnachricht zu klicken – sich weit verbreitet hat. Xuxian Jiang, der Informatikprofessor, der Google den Fehler gemeldet hat, sagte, er habe zahlreiche Berichte über „Smishing“-Angriffe in China gehört, aber nur wenige in den USA.

Ein schwerwiegender, weit verbreiteter Ausbruch könnte jedoch viel schneller voranschreiten, als die an der Aktualisierung von Android-Telefonen beteiligten Unternehmen reagieren können, sagen Experten, was möglicherweise zu schwerwiegenden Verstößen für die Verbraucher und zu Kosten für die Netzbetreiber führt, die möglicherweise durch bösartige Programme kompromittierte Telefone ersetzen müssen.„Sie können die Welt in wenigen Stunden erobern“, sagte Kevin Mahaffey, Chief Technology Officer von Lookout, einem mobilen Sicherheitsunternehmen. „Glücklicherweise ist das auf dem Handy noch nicht passiert. Aber ich sehe dies als potenziell milliardenschweres Problem.“

Google-Beamte sagen, dass sie bei den schwersten Verstößen schnell handeln können, wie im Jahr 2011, als ein Hacker-Vorfall es der iranischen Regierung ermöglichte, bis zu 300.000 Iraner mit Gmail, dem kostenlosen E-Mail-Dienst von Google, zu überwachen.

Alle wichtigen Computerbrowser erhielten schnelle Updates, die das Problem beheben. Google hat Android inzwischen aktualisiert, um ähnliche Probleme in Zukunft zu vermeiden, und die Reparatur mit ungewöhnlicher Geschwindigkeit an Smartphones geliefert.

„Der Update-Prozess ist mit vielen beweglichen Teilen verbunden, also evangelisieren wir“, sagte Lockheimer, der Android-Techniker.

Aber dieser Vorfall war der letzte, der zu solch aggressiven Aktionen führte, sagte er. Und selbst jetzt, fast anderthalb Jahre später, sagt Google, dass die Reparatur zwar die meisten Android-Handys erreicht hat, aber nicht weiß, wie viele anfällig bleiben.