News vom 09.10.2019

Project Zero macht seine Hausaufgaben

Ein Artikel von , veröffentlicht am 09.10.2019

Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.

Project Zero ist Googles Antwort auf unsichere Software: Auf Kosten des Internetgiganten suchen Sicherheitsspezialisten systematisch in eigener und fremder Software nach Schwachstellen – mit dem Ziel, diese möglichst schnell zu beheben. In den letzten Wochen ist das Team gleich zweimal fündig geworden.

Sicherheitslücke in Android

Von dem Problem im Android-Betriebssystem sind insgesamt 18 relativ neue Modelle betroffen, darunter Pixel 1 und 2, Samsung S7, S8 S9 und Huawei P20. Nicht betroffen sind laut Google die Modelle Google Pixel 3 und 3A.

Die Lücke lässt sich auf zwei Wegen ausnutzen: Bringt man Nutzer*innen dazu, eine entsprechend manipulierte App zu installieren, können Kriminelle das Gerät vollständig übernehmen (rooten). In Kombination mit einer zweiten Schwachstelle ist es auch möglich, ein Gerät alleine durch das Aufrufen einer Webseite mit dem Chrome-Browser zu attackieren.

Brisant: Wie die zuständige Sicherheitsforscherin bei Project Zero Maddie Stone berichtet, gebe es Hinweise darauf, dass die Lücke bereits in freier Wildbahn ausgenutzt werde. Daher habe man die Information bereits vor der üblichen 90-Tage-Frist veröffentlicht.

Mit dem Oktober-Update für Android soll das Problem behoben werden. Da der Angriff über den Chrome-Browser läuft, empfiehlt es sich, bis zum Update auf einen anderen Browser umzusteigen.

Eine Alternative ist der Firefox-Browser von Mozilla, den wir im Beitrag Diese Vorteile hat Firefox für Android vorstellen.

Messenger Signal ließ sich abhören

Auch Signal hat es letzte Woche erwischt: Bei dem besonders sicheren und datenschutzfreundlichen Messenger hatte sich offenbar bei einem früheren Update eine Sicherheitslücke eingeschlichen.

Wie Mitarbeiter von Project Zero berichten, waren Nutzer seitdem unbemerkt abhörbar. Mit einem manipulierten Anruf konnte man die App dazu bringen, den Anruf ohne Nutzerinteraktion anzunehmen – und somit ohne das Wissen des Nutzers zu hören, was am anderen Ende der Leitung passiert.

Betroffen war nur das Betriebssystem Android und nur Audio-Anrufe – ein Ausspionieren über Video-Calls war nicht möglich.

Signal hat bereits ein Update zur Verfügung gestellt - wir empfehlen, die App zu aktualisieren.

Was es mit dem Messenger Signal auf sich hat und warum wir ihn besonders empfehlen, erklären wir im Beitrag Signal kurz vorgestellt.

 

Weitere Artikel

YouTube-Video 

Corona-Virus: Welche Apps helfen mit Infos?

Das Corona-Virus ist nonstop in den Nachrichten. Aber gibt es auch eine App, die bei Ablauf und Orga hilft, wenn man das Virus hat (oder den Verdacht)? Wir haben uns für Sie auf die Suche gemacht - bei Android und iOS.

Ansehen
App-Berechtigungen 

App-Berechtigungen bei F-Droid

Wer auf Android den alternativen App-Store F-Droid nutzt, liest beim Installieren neuer Apps viele Berechtigungen. Damit möchte der Store Transparenz schaffen. Die F-Droid-App selbst benötigt übrigens keine zustimmungspflichtigen Berechtigungen – einige Optionen sind aber praktisch.

Mehr
App-Test 

App-Test: Diese Daten sammelt TikTok

Der mobilsicher-Datentest zeigt: Die Social-Media-App TikTok schickt alle Daten, die Sie eingeben, an TikTok-Server. Die App sammelt genaue Geräteinformationen und gibt sie an Dritte weiter. Positiv: Personalisierte Werbung ist ab Werk deaktiviert.

Mehr
Ratgeber 

Datenschutz bei Apple: Optionen im Überblick

Auch Apple reagiert auf die DSGVO: Der Konzern stellt neuerdings viele zusätzliche Infos und Einstellungsmöglichkeiten für iPhone und iPad bereit. Damit Sie nicht den Überblick verlieren, haben wir die wichtigsten Optionen für den Datenschutz für Sie aufgelistet.

Mehr