Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 09.10.2019

Project Zero macht seine Hausaufgaben

Ein Artikel von Sofia Burdin, veröffentlicht am 09.10.2019

Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.

Project Zero ist Googles Antwort auf unsichere Software: Auf Kosten des Internetgiganten suchen Sicherheitsspezialisten systematisch in eigener und fremder Software nach Schwachstellen – mit dem Ziel, diese möglichst schnell zu beheben. In den letzten Wochen ist das Team gleich zweimal fündig geworden.

Sicherheitslücke in Android

Von dem Problem im Android-Betriebssystem sind insgesamt 18 relativ neue Modelle betroffen, darunter Pixel 1 und 2, Samsung S7, S8 S9 und Huawei P20. Nicht betroffen sind laut Google die Modelle Google Pixel 3 und 3A.

Die Lücke lässt sich auf zwei Wegen ausnutzen: Bringt man Nutzer*innen dazu, eine entsprechend manipulierte App zu installieren, können Kriminelle das Gerät vollständig übernehmen (rooten). In Kombination mit einer zweiten Schwachstelle ist es auch möglich, ein Gerät alleine durch das Aufrufen einer Webseite mit dem Chrome-Browser zu attackieren.

Brisant: Wie die zuständige Sicherheitsforscherin bei Project Zero Maddie Stone berichtet, gebe es Hinweise darauf, dass die Lücke bereits in freier Wildbahn ausgenutzt werde. Daher habe man die Information bereits vor der üblichen 90-Tage-Frist veröffentlicht.

Mit dem Oktober-Update für Android soll das Problem behoben werden. Da der Angriff über den Chrome-Browser läuft, empfiehlt es sich, bis zum Update auf einen anderen Browser umzusteigen.

Eine Alternative ist der Firefox-Browser von Mozilla, den wir im Beitrag Diese Vorteile hat Firefox für Android vorstellen.

Messenger Signal ließ sich abhören

Auch Signal hat es letzte Woche erwischt: Bei dem besonders sicheren und datenschutzfreundlichen Messenger hatte sich offenbar bei einem früheren Update eine Sicherheitslücke eingeschlichen.

Wie Mitarbeiter von Project Zero berichten, waren Nutzer seitdem unbemerkt abhörbar. Mit einem manipulierten Anruf konnte man die App dazu bringen, den Anruf ohne Nutzerinteraktion anzunehmen – und somit ohne das Wissen des Nutzers zu hören, was am anderen Ende der Leitung passiert.

Betroffen war nur das Betriebssystem Android und nur Audio-Anrufe – ein Ausspionieren über Video-Calls war nicht möglich.

Signal hat bereits ein Update zur Verfügung gestellt - wir empfehlen, die App zu aktualisieren.

Was es mit dem Messenger Signal auf sich hat und warum wir ihn besonders empfehlen, erklären wir im Beitrag Signal kurz vorgestellt.

 

Weitere Artikel

Ratgeber 

Jugendschutzfilter JusProg: Nützlich, aber nicht perfekt

Ihr Kind ist alt genug für ein eigenes Mobilgerät? Dann stehen Sie vermutlich wie tausende andere Eltern vor der Frage, wie Sie es vor Pornografie, Gewalt, Hass im Internet schützen können. Ein Teil der Lösung kann ein Inhaltefilter sein. Ein brauchbares, aber wenig bekanntes Produkt ist JusProg.

Mehr
Ratgeber 

Corona-Tracing: Pandoa-App kurz vorgestellt

Die App Pandoa ist das Ergebnis eines Hackathons der Bundesregierung mit 20 freiwilligen Entwickler*innen. Die Tracing-App arbeitet mit Standortdaten, die Anonymisierung ist durchdacht und glaubhaft. Ein Veröffentlichungsdatum steht noch nicht fest.

Mehr
Ratgeber 

KeePass2Android: Passwort-Manager kurz vorgestellt

Passwort-Manager helfen, verschiedene sichere Passwörter im Alltag zu verwalten. Wir empfehlen dafür KeePass, da Sie damit die volle Kontrolle über Ihre Zugangsdaten behalten. Es gibt das Programm für Computer und Smartphones.

Mehr
Checkliste 

Checkliste: iPhone und iPad im Alltag sichern

Von der Bildschirmsperre bis zum passwortgeschützten Einkauf im App-Store – Sie können einiges tun, damit Ihr iPhone oder iPad vor dem Zugriff Dritter und vor dummen Zufällen geschützt ist. Hier ist unsere Checkliste mit den wichtigsten Punkten.

Mehr