News vom 09.10.2019

Project Zero macht seine Hausaufgaben

Ein Artikel von , veröffentlicht am 09.10.2019

Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.

Project Zero ist Googles Antwort auf unsichere Software: Auf Kosten des Internetgiganten suchen Sicherheitsspezialisten systematisch in eigener und fremder Software nach Schwachstellen – mit dem Ziel, diese möglichst schnell zu beheben. In den letzten Wochen ist das Team gleich zweimal fündig geworden.

Sicherheitslücke in Android

Von dem Problem im Android-Betriebssystem sind insgesamt 18 relativ neue Modelle betroffen, darunter Pixel 1 und 2, Samsung S7, S8 S9 und Huawei P20. Nicht betroffen sind laut Google die Modelle Google Pixel 3 und 3A.

Die Lücke lässt sich auf zwei Wegen ausnutzen: Bringt man Nutzer*innen dazu, eine entsprechend manipulierte App zu installieren, können Kriminelle das Gerät vollständig übernehmen (rooten). In Kombination mit einer zweiten Schwachstelle ist es auch möglich, ein Gerät alleine durch das Aufrufen einer Webseite mit dem Chrome-Browser zu attackieren.

Brisant: Wie die zuständige Sicherheitsforscherin bei Project Zero Maddie Stone berichtet, gebe es Hinweise darauf, dass die Lücke bereits in freier Wildbahn ausgenutzt werde. Daher habe man die Information bereits vor der üblichen 90-Tage-Frist veröffentlicht.

Mit dem Oktober-Update für Android soll das Problem behoben werden. Da der Angriff über den Chrome-Browser läuft, empfiehlt es sich, bis zum Update auf einen anderen Browser umzusteigen.

Eine Alternative ist der Firefox-Browser von Mozilla, den wir im Beitrag Diese Vorteile hat Firefox für Android vorstellen.

Messenger Signal ließ sich abhören

Auch Signal hat es letzte Woche erwischt: Bei dem besonders sicheren und datenschutzfreundlichen Messenger hatte sich offenbar bei einem früheren Update eine Sicherheitslücke eingeschlichen.

Wie Mitarbeiter von Project Zero berichten, waren Nutzer seitdem unbemerkt abhörbar. Mit einem manipulierten Anruf konnte man die App dazu bringen, den Anruf ohne Nutzerinteraktion anzunehmen – und somit ohne das Wissen des Nutzers zu hören, was am anderen Ende der Leitung passiert.

Betroffen war nur das Betriebssystem Android und nur Audio-Anrufe – ein Ausspionieren über Video-Calls war nicht möglich.

Signal hat bereits ein Update zur Verfügung gestellt - wir empfehlen, die App zu aktualisieren.

Was es mit dem Messenger Signal auf sich hat und warum wir ihn besonders empfehlen, erklären wir im Beitrag Signal kurz vorgestellt.

 

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Telefon (Dialer)

Die Telefon-App bei Android kommt häufig von Google. In der Vergangenheit ist sie durch unrechtmäßiges Datensammeln aufgefallen. Doch Sie haben die Wahl – und können eine Alternative installieren.

Mehr
Ratgeber 

Inhaltefilter JusProg einrichten – so geht’s (Android)

JusProg ist eine Filtersoftware, die Webseiten mit nicht jugendfreiem Inhalt blockiert. Anbieter ist der gemeinützige Verein JusProg e.V. Das Angebot ist werbefrei, kostenlos und verhältnismäßig wirksam. So richten Sie es ein.

Mehr
Ratgeber 

Frisch getestet: Open Food Facts – EcoScore & Nutri-Score (Android)

Welches Müesli ist gesünder, das von Firma A oder das von Firma B? Enthält eines von beiden Palmöl? In der App des Community-Projekts Open Food Facts können Sie solche Infos für viele Produkte abrufen. Mit Ihren Daten geht die App dabei vorbildlich um.

Mehr
Ratgeber 

SMS verschlüsseln mit Silence

Die Auswahl an Apps zur Verschlüsselung des SMS-Verkehrs ist sehr eingeschränkt. Silence bietet als alternative SMS-App die Verschlüsselung von SMS an – mit Einschränkungen.

Mehr