News vom 09.10.2019

Project Zero macht seine Hausaufgaben

Ein Artikel von , veröffentlicht am 09.10.2019

Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.

Project Zero ist Googles Antwort auf unsichere Software: Auf Kosten des Internetgiganten suchen Sicherheitsspezialisten systematisch in eigener und fremder Software nach Schwachstellen – mit dem Ziel, diese möglichst schnell zu beheben. In den letzten Wochen ist das Team gleich zweimal fündig geworden.

Sicherheitslücke in Android

Von dem Problem im Android-Betriebssystem sind insgesamt 18 relativ neue Modelle betroffen, darunter Pixel 1 und 2, Samsung S7, S8 S9 und Huawei P20. Nicht betroffen sind laut Google die Modelle Google Pixel 3 und 3A.

Die Lücke lässt sich auf zwei Wegen ausnutzen: Bringt man Nutzer*innen dazu, eine entsprechend manipulierte App zu installieren, können Kriminelle das Gerät vollständig übernehmen (rooten). In Kombination mit einer zweiten Schwachstelle ist es auch möglich, ein Gerät alleine durch das Aufrufen einer Webseite mit dem Chrome-Browser zu attackieren.

Brisant: Wie die zuständige Sicherheitsforscherin bei Project Zero Maddie Stone berichtet, gebe es Hinweise darauf, dass die Lücke bereits in freier Wildbahn ausgenutzt werde. Daher habe man die Information bereits vor der üblichen 90-Tage-Frist veröffentlicht.

Mit dem Oktober-Update für Android soll das Problem behoben werden. Da der Angriff über den Chrome-Browser läuft, empfiehlt es sich, bis zum Update auf einen anderen Browser umzusteigen.

Eine Alternative ist der Firefox-Browser von Mozilla, den wir im Beitrag Diese Vorteile hat Firefox für Android vorstellen.

Messenger Signal ließ sich abhören

Auch Signal hat es letzte Woche erwischt: Bei dem besonders sicheren und datenschutzfreundlichen Messenger hatte sich offenbar bei einem früheren Update eine Sicherheitslücke eingeschlichen.

Wie Mitarbeiter von Project Zero berichten, waren Nutzer seitdem unbemerkt abhörbar. Mit einem manipulierten Anruf konnte man die App dazu bringen, den Anruf ohne Nutzerinteraktion anzunehmen – und somit ohne das Wissen des Nutzers zu hören, was am anderen Ende der Leitung passiert.

Betroffen war nur das Betriebssystem Android und nur Audio-Anrufe – ein Ausspionieren über Video-Calls war nicht möglich.

Signal hat bereits ein Update zur Verfügung gestellt - wir empfehlen, die App zu aktualisieren.

Was es mit dem Messenger Signal auf sich hat und warum wir ihn besonders empfehlen, erklären wir im Beitrag Signal kurz vorgestellt.

 

Weitere Artikel

YouTube-Video 

Ein Handy aus Müll?

Ohne Recycling geht es bald nicht mehr. Wann kommt das erste Smartphone, das zu 100 Prozent aus recyceltem Material besteht?

Ansehen
Ratgeber 

Samsung Kids einrichten – so geht’s

Sie haben ein Samsung-Handy mit Android 9 oder höher und wollen es ab und an Ihrem Kind in die Hand geben? Mit der App „Samsung Kids“ können Sie das Gerät so sichern, dass dabei kein Unglück geschieht. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
Ratgeber 

Freies Android: Das kann das Betriebssystem /e/

Die französische e Foundation möchte ein Android ohne Google bieten - und zwar für Alltagsnutzer*innen ohne Fachwissen. Erste Smartphones sind schon auf dem Markt. Wir haben das freie Betriebsystem /e/ ausprobiert.

Mehr
Ratgeber 

Apps des Monats – die spannendsten im August

E-Mails verschlüsseln, das Smartphone aufräumen und Apps auf Kinderhandys blockieren - das können unsere Apps des Monats August. Auch geht's mal wieder um WhatsApp und warum wir andere Messenger einfach besser finden.

Mehr