News vom 10.01.2018

Sicherheitslücke in Mikrochips: Auch Smartphones betroffen

Ein Artikel von , veröffentlicht am 05.01.2018, bearbeitet am10.01.2018

Eine Sicherheitslücke in den Prozessoren der meisten Hersteller macht Smartphones und Tablets angreifbar. Für Android und iOS gibt es mittlerweile Sicherheitsupdates, die die Auswirkungen von „Spectre“ minimieren sollen.

Prozessoren verschiedener Hersteller weisen eine gravierende Sicherheitslücke auf. Betroffen sind alle großen Chipmarken, die in Smartphones eingebaut sind.

Durch die Sicherheitslücke können böswillige Programme trotz eigentlich vorgesehener Schutzmechanismen Daten aus anderen Apps abgreifen. Damit könnten auch hoch sensible Daten wie Passwörter ausspioniert werden. Diese Angriffsmöglichkeit tauften die Entdecker „Spectre“. Ein anderer Angriff, der aber auf Mobilgeräten nicht so relevant ist, heißt „Meltdown“.

Voraussetzung für den Spectre-Angriff ist, dass ein Schadprogramm auf dem jeweiligen Gerät installiert ist. Ob die Schwachstelle tatsächlich schon ausgenutzt wurde, ist nicht bekannt.

Prozessoren: Kernelemente eines Smartphones

Prozessoren sind kleine Bauteile, die die eigentliche Rechenzentrale eines Computers darstellen. In fast allen Smartphones und Tablets befinden sich Chips des Prozessor-Designers ARM, die von verschiedenen Herstellern über Lizenzverträge produziert werden. Sie werden sowohl in Android- als auch in iOS-Smartphones eingesetzt.

Die Lücke haben verschiedene Sicherheitsforscher im vergangenen Jahr unabhängig voneinander entdeckt. Im Juni letzten Jahres informierten sie die betreffenden Unternehmen. Öffentlich bekannt wurde das Problem aber erst diese Woche.

Updates für Android da, für Apple erst angekündigt

Apple und Google betonen in ihren Statements zu dem Thema, dass die Schwachstelle auf Smartphones in der Praxis nur schwer auszunutzen sei.

Apple hat mit einigen Tagen Verzögerung eines Sicherheits-Updates veröffentlicht: iOS 11.2.1, das von Nutzern installiert werden kann. Apple schreibt allerdings, dass das Update die Sicherheitslücke "abschwäche", also nicht völlig behebt.

Google schrieb in einem Blogpost, dass die Google-eigenen Handymarken Pixel und Nexus bereits durch ein Anfang Januar veröffentlichtes Softwareupdate für Android geschützt seien. Das Update hat die Bezeichnung "Android 2018-01-05 Security Patch Level". Google hatte das Update auch anderen Herstellern von Android-Geräten bereits im Dezember 2017 zur Verfügung gestellt.

Das Problem bei Android ist prinzipiell, dass nicht alle Hersteller von Android-Geräten bereitstehende Updates sofort an die Endnutzer ausliefern, da sie die Software vorher noch an die jeweiligen Geräte anpassen müssen. Deswegen dürften die meisten Android-Geräte, die nicht direkt von Goolge stammen, noch ungeschützt sein.

So prüfen Sie, ob Sie bei Android geschützt sind

Um zu sehen, ob die Lücke bei Ihrem Gerät schon geschlossen ist, müssen Sie die Angabe zur "Sicherheitspatch-Ebene" finden. Sie finden sie in der Regel unter:

Einstellungen > Über das Telefon > Android-Sicherheitspatch-Ebene. Dort sollte das Datum 2018-01-05 oder später zu sehen sein.

Bei manchen Geräten lautet der Pfad auch: Einstellungen > Geräteinformationen > Softwareinformationen > Android-Sicherheitspatch-Ebene

Updates schnell installieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in einer Stellungnahme, Sicherheitsupdates einzuspielen, sobald sie zur Verfügung stehen und Apps nur aus vertrauenswürdigen Quellen zu installieren.

Daniel Gruß von der Technischen Universität Graz, der an der Veröffentlichung der Sicherheitslücke beteiligt war, meint gegenüber Spiegel Online, dass es trotz der potenziell gefährlichen Situation keinen Grund zu akuter Panik gebe. Auch er empfiehlt eindringlich, in den nächsten Tagen zu checken, ob es Systemupdates für die jeweiligen Geräte gibt und diese dann sofort zu installieren.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Schnüffelmodule in kostenlosen Apps

Werbung in Apps ist oft nervig, aber noch problematischer ist, dass Werbemodule darin oft viele Daten ausspähen. Diese gehen nicht nur an die App-Entwickler, sondern auch an Werbefirmen. Wir erklären, was Sie tun können, um Ihre Daten zu schützen.

Ansehen
App-Test 

Heimweg-App Glympse kurz vorgestellt

Mit Glympse können Sie Ihren Standort per Link freigeben. Ihre Begleitung braucht also keine App. Allerdings kann Ihr Standort leicht ohne Ihr Wissen an Dritte gegeben werden. Die Firma Glympse Inc. sitzt in den USA und teilt Informationen aus der App mit Facebook und Google.

Mehr
Browser und Suchmaschinen 

Ratgeber: So surfen Sie anonym mit Tor (Android)

Wer im Internet surft, hinterlässt Spuren. Das Anonymisierungsnetzwerk Tor kann helfen, diese zu verschleiern. Wie Sie den Tor-Browser auf Ihrem Android-Gerät installieren und nutzen können, erklären wir hier Schritt für Schritt.

Mehr
Betrug und Phishing 

Gefälschte Profile und die SMS-TAN

Manche Leistungen kann man im Internet per Mobilfunknummer bezahlen – sie werden dann auf die Handyrechnung gesetzt. Das machen sich Betrüger*innen zunutze. Als falsche Freund*innen erschleichen sie sich Ihre Telefonnummer und den Bestätigungs-Code und kaufen auf Ihre Kosten ein.

Mehr