Posts Tagged ‘ Android ’

Smartphone-Sicherheit – Smartphone-Lücken selbst stopfen

Dienstag, Juni 2nd, 2015

In vielen Smartphones verstecken sich gefährliche Sicherheitslücken, nicht alle werden von den Herstellern geschlossen. Wir geben Hilfe zur Selbsthilfe

  • Gravierende Sicherheitslücke bei Android können Sie selbst schließen.
  • Auch bei Apples iOS ist Vorsicht geboten.
  • Microsoft-Lücken werden kaum genutzt.

In mehr als der Hälfte aller Android-Geräte klafft eine gravierende Sicherheitslücke. Sie ermöglicht es Hackern unter anderem, E-Mails mitzulesen oder Mobiltelefone mit Googles Betriebssystem sogar fernzusteuern. In Deutschland sind rund 18 Millionen Smartphone-Nutzer von diesem Sicherheitsproblem betroffen.

Und das Schlimmste: Sie werden von Google und den meisten Geräteherstellern im Stich gelassen. Die gefährliche Schwachstelle in Android wird durch WebView verursacht, das in den Versionen 4.3 und älter zum Einsatz kommt. Zahlreiche Apps sowie der Android-Werksbrowser nutzen WebView, um Webseiten oder Werbebanner anzuzeigen.

Die Schnittstelle ist jedoch anfällig für das sogenannte Universal Cross Site Scripting: Eine manipulierte Webseite könnte so etwa die E-Mails des Users mitlesen, wenn dieser bei einem Webmailer eingeloggt ist. Dazu muss er nur auf die Seite des Angreifers surfen. Der Sicherheitsexperte Tod Beardsley hat zudem festgestellt, dass ein Hacker über die Lücke auch vollen Zugriff auf das Gerät bekommen und beispielsweise das Mikrofon oder die Kamera heimlich einschalten könnte. Die Sicherheitslücke, die sich immerhin in knapp 60 Prozent aller aktiven Android-Geräte befindet, lässt sich zwar beheben oder umgehen, aber von Google können die User diesbezüglich keine Hilfe erwarten.

So schützen Sie ihr Smartphone vor dem BKA-Trojaner

Der Konzern argumentiert, man habe das Problem in den Android-Versionen 4.4 und 5.0 behoben und sieht seine Schuldigkeit damit getan. Doch viele ältere Geräte werden nicht mit Updates auf diese Versionen versorgt – auch weil die Hersteller nicht mitziehen. Sie verkaufen lieber neue Smartphones, als alte Geräte mit Updates zu versorgen. Deshalb muss jeder selbst tätig werden. Auch im oft als virenfrei beschriebenen iOS verbergen sich Lücken. Die Sicherheitslage ist zwar nicht so bedenklich wie bei Googles mobilem Betriebssystem, doch auch hier können Nutzer selbst einiges zu ihrer Sicherheit beitragen. Wir geben Hilfe zur Selbsthilfe.

Browser austauschen

Ob Sie beim Surfen mit Ihrem Smartphone gefährdet sind, hängt neben der Version Ihres Betriebssystems auch davon ab, welchen Browser Sie verwenden. In allen Android-Versionen bis 4.3 nutzt der Werksbrowser das lückenhafte WebView, um Seiten darzustellen – und öffnet damit Hackern Tür und Tor.

1 Android-Version checken

Zunächst sollten Sie überprüfen, ob eine der gefährdeten Android- Versionen auf Ihrem Smartphone installiert ist. Unsicher sind alle Versionen von Android 2.2 alias Froyo bis einschließlich 4.3 alias Jelly Bean. In ihnen kommt die anfällige WebView-Komponente WebKit zum Einsatz, auf die unter anderem der Android-Werksbrowser zurückgreift. Erst ab Android 4.4 ist die sichere WebView-Variante Blink verbaut, die Engine des Chrome-Browsers. Sie sollten also auf keinen Fall mit dem Werksbrowser surfen, wenn Sie eine Android-Version bis 4.3 verwenden. Falls Sie nicht auswendig wissen, welche Version auf Ihrem Gerät installiert ist, wechseln Sie in die Systemeinstellungen und tippen auf »Über das Telefon« . Sollte unter dem Eintrag »Android-Version »4.4« oder »5.0« stehen, können. Sie hier zu lesen aufhören: Sie sind sicher. In allen anderen Fällen sollten Sie weiter unserer Anleitung folgen.

2 Hersteller-Update überprüfen

Als Nächstes sollten Sie überprüfen, ob Ihr Gerätehersteller ein Update auf eine sichere Android-Version anbietet. Bleiben Sie dazu im Menü »Über das Telefon« und tippen Sie auf »Online-Aktualisierung «. Sollte das Smartphone keine Aktualisierung finden oder eine Version unter 4.4 als aktuellstes Update verfügbar sein, bleiben Ihnen zwei Optionen, um Ihr System abzusichern: Entweder Sie installieren einen alternativen Browser oder Sie aktualisieren Ihr Gerät manuell mit einem alternativen Betriebssystem. Letzteres ist zwar sicherer, weil es das Problem löst und nicht nur umgeht, aber nicht trivial und für

Anfänger eher ungeeignet. Leichter ist es in jedem Fall, einen Browser zu verwenden, der nicht für die eingangs genannten Sicherheitslücken anfällig ist.

3 Alternativen Browser installieren

Im Prinzip eignet sich jeder Browser mit eigener Engine zur Umgehung der WebView-Lücke. Dazu gehören unter anderem Chrome, Firefox, Opera und Dolphin. Für Chrome gibt es jedoch eine Einschränkung: Google stellt für den Browser keine Updates mehr bereit, wenn er auf Android 4.0.4 oder noch älteren Systemen läuft. Auch Sicherheitsupdates gibt es dann nicht mehr. Wir empfehlen deshalb Firefox, da dieser Browser regelmäßig aktualisiert wird. Installieren können Sie Firefox wie andere Apps über den Google Play Store. Nach der Installation müssen Sie den neuen Browser als Standard definieren, damit Webinhalte künftig immer damit angezeigt werden. Öffnen Sie dazu einen Link, zum Beispiel aus einer E-Mail, setzen Sie im Fenster »Aktion durchführen mit« den Haken neben »Immer für diese Aktion verwenden« und tippen Sie dann auf das Icon des Browsers. Sollte sich statt des Dialogfensters ein Browser öffnen, lesen Sie Schritt 4.

4 Selbst updaten

Wer einen sicheren Browser nutzt, kann zwar die gravierendsten Probleme umgehen, die durch die WebView-Lücke entstehen. Das Problem, dass Werbebanner in Apps dadurch zum potenziellen Einfallstor für Angreifer werden, wir jedoch nicht gelöst, denn die Lücke selbst bleibt bestehen. Sie verschwindet erst durch das Update des Betriebssystems auf Android 4.4 oder höher. Stellt ein Gerätehersteller kein offizielles Update bereit, bleibt noch die Möglichkeit, ein alternatives Android-System – eine sogenanntes Custom-ROM (CR) – auf dem Gerät zu installieren.

Beim Rooten ist Vorsicht geboten. Da CRs permanent von der Entwickler-Community weiterentwickelt werden, sind sie quasi immer auf dem neuesten Stand. Die Installation einer alternativen Android-Version ist jedoch keinesfalls trivial: Der Nutzer braucht dazu volle Administratoren-, also Root-Rechte für sein Gerät. Die Hersteller räumen ihren Kunden diese Rechte jedoch nicht ein – aus gutem Grund: Ein gerootetes Gerät kann von Grund auf modifiziert werden, was im schlimmsten Fall dazu führt, dass das Smartphone oder Tablet nicht mehr funktioniert. Aus diesem Grund verlieren gerootete Geräte auch die Herstellergarantie. In manchen Fällen, wie der WebView-Lücke, bleibt dem Nutzer jedoch keine andere Möglichkeit. Die größte Hürde dabei: Je nach Hersteller und Gerät unterscheiden sich die Rootvorgänge voneinander. Manche Hersteller wie HTC und Sony erleichtern es der Entwickler- Community, andere wie Samsung erschweren das Prozedere enorm, was den Einsatz von Spezialsoftware wie Odin nötig macht. Entwicklerforen bieten Rooting-Hilfe Holen Sie sich am besten Rat in einem Entwicklerforum wie androidhilfe.de oder xda-developers.com. Hier finden sich für die meisten Geräte aktuelle Schritt-für-Schritt-Anleitungen.

Hilfreiche Software wie Rootkits und Backup-Tools finden Sie auf unserer Heft-DVD. Hat man einmal vollen Zugriff, muss im Anschluss eine Custom- Recovery-Software installiert werden, über die letztendlich das CR aufgespielt wird. Aber Vorsicht: Nicht jedes ROM funktioniert mit jeder Recovery. Lesen Sie am besten auch hier in den entsprechenden Foren nach. Da das Gerät bei der Installation eines CRs – oft auch schon beim Rooten – auf den Werkszustand zurückgesetzt wird, sollte man davor unbedingt ein Backup aller wichtigen Daten vornehmen. In der Regel müssen die meisten Schritte bis zur vollständigen Installation eines CRs von Hand durchgeführt werden. Das ist oft langwierig und kompliziert.

 

Für die CR CyanogenMod gibt es jedoch einen Installer, der alle notwendigen Schritte automatisch ausführt – quasi ein Rootkit für jedermann. Das Problem: Der Installer funktioniert nur bei Smartphones aus der Galaxy-Reihe, den Nexus-Geräten und dem HTC One. Wer ein anderes Modell besitzt, muss sich unter wiki. cyanogenmod.org die Installationsanleitung dafür besorgen. Der CyanogenMod empfiehlt sich wegen seiner Benutzerfreundlichkeit besonders für User, die zum ersten Mal ein CR installieren.

iOS-Apps lesen mit

Apple möchte Nutzer gerne glauben machen, dass sein mobiles Betriebssystem iOS keine Sicherheitsrisiken birgt. Deshalb verbannte der iPhone-Hersteller im März alle Antiviren-Apps aus dem App- Store. Begründung: Solche Apps könnten User zu der Vermutung drängen, es gäbe Viren für iOS. Da Apple Anwendungen viel strenger als Google prüft, bevor sie in den App Store gelangen, gibt es zwar fast keine schädlichen Apps für iPhone und iPad. Doch frei von Fehlern ist iOS keineswegs: Mit dem Update auf die neueste Version 8.3 veröffentlichte Apple eine Liste mit knapp 60 Sicherheitslücken, die darin geschlossen wurden – darunter Bugs in der Browser-Engine WebKit, die Angriffe per Remote Code Execution ermöglichen (siehe rechts). Anders als Google verteilt Apple Updates immerhin an die meisten Geräte – auch an ältere: iOS 8.3 läuft auf allen iPhones bis zurück zum dreieinhalb Jahre alten 4S.

Das bedeutet aber auch: Wer kein Update mehr bekommt, muss mit den Sicherheitslücken leben, oder sich ein neues Modell kaufen. Es ist zwar möglich, ein iPhone zu rooten – bei Apple-Geräten wird dieser Vorgang Jailbreak genannt. Das ermöglicht es aber lediglich, Apps zu installieren, die nicht über den offiziellen Store vertrieben werden. Weil solche Apps jedoch nicht von Apple überprüft werden, ist gerade hier die Gefahr groß, sich eine gefährliche Anwendung auf das Telefon zu holen. Doch auch legitime Apps können ein Risiko darstellen, wie der iOS-Entwickler Craig Hockenberry herausgefunden hat. Ähnlich wie bei Android macht auch bei iOS WebView Probleme, eine Systemkomponente, über die Apps Webinhalte anzeigen. Apple nutzt jedoch eine weniger gefährdete Version der dahinterliegenden Engine WebKit als Google. Bei der Darstellung von Webseiten erhalten Apps über WebView Zugriff auf Formulardaten wie Benutzername und Passwort und können diese theoretisch auch weitergeben. Hockenberry empfiehlt deshalb, sensible Daten nur in Safari einzugeben.

Windows mobil sicher

Zur Sicherheit bei Windows Phone gibt es im Grunde wenig zu sagen. Nur so viel: Bislang bekannte Lücken werden praktisch nicht ausgenutzt. Der Hauptgrund dafür ist die geringe Verbreitung des Betriebssystems: In Deutschland kommt Windows Phone nur auf einen Marktanteil von knapp 2,5 Prozent, weltweit noch weniger. Das macht dieses System für Hacker schlichtweg uninteressant. Ein anderer Grund liegt in den hohen Sicherheitsauflagen, die an Anwendungen gestellt werden: „Microsoft kontrolliert Apps sogar strenger als Apple“, erklärt Sicherheitsexperte Mike Morgenstern von AV-Test. Hinzu kommt, dass anders als auf dem Desktop Prozesse bei Windows Phone sehr eingeschränkt laufen: „Auch wenn jemand Zugriff auf eine App bekäme, könnte er noch lange nicht das System selbst angreifen“, so Morgenstern. Da Microsoft seine Mobilgeräte zudem regelmäßig mit Updates versorgt, ist Windows Phone für sicherheitsbewusste Smartphone-Nutzer eine gute Wahl.

Homepage:

http://www.focus.de/digital/handy/sicherheit-geht-vor-smartphone-luecken-selbst-stopfen-so-werden-sie-zum-profi_id_4692453.html

Android 5.0: Lollipop wird für Nexus-Geräte verteilt

Dienstag, November 18th, 2014

 

Android 5.0

Mit etwas Verspätung kommt die neue Android-Version 5.0 jetzt auch für Googles Nexus-Geräte: Die Verteilung hat offiziell begonnen, auch in Deutschland sollte Lollipop demnach bald eintreffen. Ältere Geräte werden jedoch wieder nicht berücksichtigt.

Nutzer von Nexus-Geräten ab dem Nexus 4 erhalten in den kommenden Tagen die neue Android-Version 5.0 alias Lollipop als OTA-Update. Eigentlich sollte die Aktualisierung bereits Anfang November verteilt werden, ein Problem mit dem WLAN-Modul soll die Veröffentlichung allerdings verzögert haben.

Auf Twitter hat Googles Android-Team den Beginn der Verteilung angekündigt. Einen Zeitplan hat das Team nicht veröffentlicht. Es ist aber anzunehmen, dass das Update in den nächsten Tagen schrittweise auch in Deutschland ankommen wird.

Motorola war schneller als Google

Anders als gewohnt sind die Nexus-Smartphones und -Tablets bei dieser Android-Version nicht die ersten Android-Geräte, die das Update erhalten. Motorola hatte bereits gestern mit der Verteilung der neuen Version für sein aktuelles Moto G begonnen. Bis dahin war das Nexus 9 das einzige Android-Gerät, das mit einer offiziellen und finalen Version von Lollipop lief. Auch andere Hersteller haben bereits schnelle Updates angekündigt.

Auf der Entwicklerseite von Android stehen zudem jetzt auch die Factory Images von Android 5.0 für die Nexus-Geräte als Download zur Verfügung. Wer nicht auf das OTA-Update warten will, kann sich die passende Version für sein Gerät herunterladen und manuell flashen. Wie bereits bei Android 4.4 alias Kitkat gibt es aber für Nexus-Geräte, die älter als das Nexus 4 sind, kein offizielles Android 5.0. In der Vergangenheit haben Programmierer hier aber Abhilfe geschaffen und unter anderem Custom ROMs für das Galaxy Nexus von Samsung erstellt.  (tk)

Quelle:

 

www.golem.de/news

Smartphone-Krypto: Android soll laut Google bald zu iOS aufschließen

Freitag, Oktober 10th, 2014

Die kommende Version von Googles Android-Betriebssystem soll ab der kommenden Version standardmäßig dafür sorgen, dass alle Daten auf dem jeweiligen Gerät verschlüsselt sind. Damit würde die Plattform zu dem Sicherheits-Level aufschließen, das Apple gerade mit iOS 8 eingeführt hat. Die Möglichkeit zur Verschlüsselung sind in Android schon länger vorhanden, konkret seit 2011. Allerdings muss das Feature von den Anwendern erst aktiviert werden, was nur sehr wenige tatsächlich getan haben. In der in Kürze erscheinenden Version Android L werden die Kryptografie-Funktionen dann aber automatisch bei der Einrichtung eines Smartphones oder Tablets aktiviert, so dass die auf dem System gespeicherten Bilder, Videos, Nachrichten und anderen Informationen nur eingesehen werden können, wenn die korrekte Zugangskennung eingegeben wurde.

Sowohl Apple als auch Google setzen bei der Verschlüsselung auf bewährte Verfahren, die auch ausreichend Schutz vor professionellen Angriffen bieten sollen. So betonte nun auch eine Google-Sprecherin, dass das Unternehmen beispielsweise auch Behörden mit einer richterlichen Anordnung nicht weiterhelfen könne, wenn diese Zugang zu einem Mobilgerät haben wollen. Das setzt natürlich voraus, dass der Anwender ein halbwegs starkes Passwort verwendet und die Informationen, die geschützt werden sollen, dann auch nicht in die Cloud synchronisiert.

Mit der Einführung der Standard-Verschlüsselung wollen die Anbieter vor allem auch Vertrauen bei den Nutzern zurückgewinnen. Nachdem im Zuge der Snowden-Veröffentlichungen die Öffentlichkeit zu einem gewissen Grad darauf sensibilisiert wurde, sich gegen Überwachungsmaßnahmen zu schützen, ist die Verfügbarkeit entsprechender Features durchaus zu einem Verkaufsargument geworden.

Bis die Krypto-Features bei Android in voller Breite in der Praxis ankommen, wird es aber wohl deutlich länger dauern als beim Konkurrenten. Denn Apple liefert nicht nur die neuen iPhones mit standardmäßig aktivierter Verschlüsselung aus, sondern bringt diese mit dem aktuellen iOS 8-Update auch schnell auf die meisten älteren Geräte. Durch den fragmentierten Aktualisierungs-Prozess bei Google kann es hingegen Wochen bis Monate dauern, bis auch viele bereits verkaufte Smartphones und Tablets auf Android L aufgerüstet werden.

 

Erstmalig veröffentlicht auf:

www.winfuture.de/

Mobile Malware: Kaspersky: Android erleidet Windows-Schicksal

Mittwoch, April 16th, 2014

Besonders auf Kontakte, SMS, GPS-Daten und Fotos haben Android-Schädlinge abgesehen, warnt Kaspersky. Die Google-Plattform wird Top-Ziel für Attacken.

Die Warnungen der Security-Anbieter häufen sich, ob von Symantec, Bitdefender oder jetzt wieder Kaspersky Lab: Das mobile Betriebssystem Android mausert sich zum Top-Ziel der Cyberkriminellen. „Mittlerweile vereint Android mehr als 46 Prozent der mobilen Schadprogramme auf sich, Tendenz steigend“, heißt es in einer Mitteilung der russischen Malware-Bekämpfer. Allein im September stieg die Anzahl an neuer Android-Malware um 30 Prozent.

Besonders scheinen es die Angreifer auf Informationen abgesehen haben. Nach Kaspersky-Analysen stehlen 34 Prozent, also ein gutes Drittel, persönliche Daten. „Ein alarmierender Trend, wenn man bedenkt, dass derartig verseuchte Apps bereits im offiziellen Android Market aufgetaucht sind.“ (mehr …)

Security: WLAN-Suche als Einfallstor bei Android und iOS

Dienstag, April 15th, 2014

 

Eine seit Jahren bekannte potenzielle Sicherheitslücke ist auf allen Geräten mit Android und iOS weiterhin nutzbar. Solche Tablets und Smartphones teilen der Umgebung ihre bevorzugten WLANs mit, und das ist durchaus ein Problem.

Auf ein bei PCs seit langem geändertes Verhalten von WLAN-Adaptern weist der Sicherheitsexperte Raul Siles in Bezug auf mobile Geräte hin. Der Forscher hat das Problem in seinem Blog beschrieben und danach Help Net Security weitere Details genannt. (mehr …)

Android-Verbreitung: Jelly Bean überholt Ice Cream Sandwich

Montag, Mai 13th, 2013

Die jüngste Android-Version Jelly Bean – zu der die Nummern 4.1 und 4.2 zählen – kommt mittlerweile auf 28,4 Prozent aller Geräte zum Einsatz, die auf Googles Marktplatz Play zugreifen. Damit hat sie den Vorgänger Ice Cream Sandwich (Version 4.0) überholt, das einen Anteil von 27,5 Prozent aufweist. Das geht aus einer neuen offiziellen Statistik von Google hervor, die sich auf den zweiwöchigen Zeitraum bis 1. Mai bezieht. (mehr …)