News vom 09.10.2019

Project Zero macht seine Hausaufgaben

Ein Artikel von , veröffentlicht am 09.10.2019

Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.

Project Zero ist Googles Antwort auf unsichere Software: Auf Kosten des Internetgiganten suchen Sicherheitsspezialisten systematisch in eigener und fremder Software nach Schwachstellen – mit dem Ziel, diese möglichst schnell zu beheben. In den letzten Wochen ist das Team gleich zweimal fündig geworden.

Sicherheitslücke in Android

Von dem Problem im Android-Betriebssystem sind insgesamt 18 relativ neue Modelle betroffen, darunter Pixel 1 und 2, Samsung S7, S8 S9 und Huawei P20. Nicht betroffen sind laut Google die Modelle Google Pixel 3 und 3A.

Die Lücke lässt sich auf zwei Wegen ausnutzen: Bringt man Nutzer*innen dazu, eine entsprechend manipulierte App zu installieren, können Kriminelle das Gerät vollständig übernehmen (rooten). In Kombination mit einer zweiten Schwachstelle ist es auch möglich, ein Gerät alleine durch das Aufrufen einer Webseite mit dem Chrome-Browser zu attackieren.

Brisant: Wie die zuständige Sicherheitsforscherin bei Project Zero Maddie Stone berichtet, gebe es Hinweise darauf, dass die Lücke bereits in freier Wildbahn ausgenutzt werde. Daher habe man die Information bereits vor der üblichen 90-Tage-Frist veröffentlicht.

Mit dem Oktober-Update für Android soll das Problem behoben werden. Da der Angriff über den Chrome-Browser läuft, empfiehlt es sich, bis zum Update auf einen anderen Browser umzusteigen.

Eine Alternative ist der Firefox-Browser von Mozilla, den wir im Beitrag Diese Vorteile hat Firefox für Android vorstellen.

Messenger Signal ließ sich abhören

Auch Signal hat es letzte Woche erwischt: Bei dem besonders sicheren und datenschutzfreundlichen Messenger hatte sich offenbar bei einem früheren Update eine Sicherheitslücke eingeschlichen.

Wie Mitarbeiter von Project Zero berichten, waren Nutzer seitdem unbemerkt abhörbar. Mit einem manipulierten Anruf konnte man die App dazu bringen, den Anruf ohne Nutzerinteraktion anzunehmen – und somit ohne das Wissen des Nutzers zu hören, was am anderen Ende der Leitung passiert.

Betroffen war nur das Betriebssystem Android und nur Audio-Anrufe – ein Ausspionieren über Video-Calls war nicht möglich.

Signal hat bereits ein Update zur Verfügung gestellt - wir empfehlen, die App zu aktualisieren.

Was es mit dem Messenger Signal auf sich hat und warum wir ihn besonders empfehlen, erklären wir im Beitrag Signal kurz vorgestellt.

 

Weitere Artikel

Ratgeber 

PeerTube – das bessere YouTube?

Der Videodienst ist eine nichtkommerzielle Alternative zu YouTube. Statt eines zentralen Anbieters gibt es viele unabhängige PeerTube-Server, die miteinander kompatibel sind. Wir stellen den Dienst vor und zeigen, wie Sie ihn selbst nutzen können.

Mehr
Ratgeber 

Samsung Kindermodus einrichten – so geht’s

Sie haben ein Samsung-Handy und wollen es ab und an Ihrem Kind in die Hand geben? Mit der Samsung-App „Kindermodus“ können Sie das Gerät so sichern, dass dabei kein Unglück passiert. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
App-Test 

App-Test: Diese Daten sammelt MyFitnessPal

Der Kalorienzähler MyFitnessPal nutzt Ihre Gesundheitsdaten für Werbung, Marketing und Personalisierung und gibt sie an viele andere Unternehmen weiter. Ein hoher Datenpreis für ein digitales Ernährungstagebuch. Wir raten von der Nutzung ab.

Mehr
Ratgeber 

Was Sie über Fortnite wissen sollten

Fortnite ist momentan das beliebteste Computer- und Handyspiel bei Jugendlichen. Während man in einer bunten Comicwelt Gegner erschießt, entsteht durch den Team-Modus auch ein soziales Netzwerk. Das Suchtpotenzial ist hoch. Wir erklären, worauf Eltern achten sollten.

Mehr