Android-Sicherheitslücken: Forscher warnen vor lebenslangem Hackerzugriff auf Daten

MÜNCHEN (IT BOLTWISE) – Eine neue Studie der EPFL deckt 31 kritische Sicherheitslücken in Android-Systemen auf. Diese Schwachstellen könnten Hackern lebenslangen Zugriff auf persönliche Daten ermöglichen, was Fragen zur Datensicherheit aufwirft.

Für eine umfassende Studie haben Schweizer Forscher der École Polytechnique Fédérale in Lausanne (EPFL) gezielt nach Sicherheitslücken in Smartphones gesucht. Sie fanden 31 kritische Schwachstellen im Android-Betriebssystem von Google. Diese Entdeckungen werfen die Frage auf, ob Hersteller genügend Maßnahmen zum Schutz der Verbraucherdaten ergreifen.

Laut Mathias Payer, Cybersicherheitsforscher und Leiter des HexHive-Labors an der EPFL, stellen diese Schwachstellen erhebliche Gefahren dar. „Solche Schwachstellen sind die Achillesfersen eines mobilen Geräts, sie können entscheidende Bereiche gefährden“, erklärt Payer in einer Pressemitteilung der Hochschule. Er warnt, dass Hacker, die solche Lücken ausnutzen, langfristigen Zugang zu persönlichen Daten erhalten könnten: „Solange Sie dasselbe Telefon haben, hat es solche Schwachstellen, dann ist Ihr Telefon nicht mehr sicher.“

Die aufgedeckten Lücken könnten von Kriminellen ausgenutzt worden sein, um sensible Daten wie Fingerabdrücke, Gesichtserkennungsdaten oder Kreditkarteninformationen zu stehlen. Payer weist zudem darauf hin, dass ähnliche Sicherheitslücken auch im iPhone-System existieren könnten, jedoch werde hierzu weniger Forschung betrieben, da Apple ein geschlossenes System pflegt.

Insgesamt veröffentlichte das Forschungsteam drei Arbeiten zur Android-Sicherheit, die auf dem Usenix Security Symposium in Philadelphia präsentiert wurden. Die Studien zeigen detailliert, welche Schichten der Android-Architektur betroffen sind und wie die Sicherheitslücken ausgenutzt werden könnten. Die Forscher erklären, dass die Informationsverarbeitung in Android über drei Codeschichten stattfindet, ähnlich dem iOS-Betriebssystem von Apple.

Besonders kritisch sind die entdeckten Sicherheitslücken in der dritten Schicht des Android-Systems, die mit verschlüsselten Daten arbeitet. Hierbei kommt es offenbar häufig zu Verwirrungen, wenn das System mit vertraulichen Anwendungen kommuniziert. Vertrauliche Informationen werden fälschlicherweise als sicher eingestuft und können dadurch von außen zugänglich werden.

Bei einer Analyse von 15.000 besonders geschützten Programmen entdeckten die Forscher 14 neue Sicherheitslücken und zehn stillschweigend behobene Fehler. Insgesamt untersuchten sie 35.000 Anwendungen, die von verschiedenen Herstellern genutzt werden. Ein beteiligter Doktorand erklärt: „Android ist ein komplexes Ökosystem mit vielen Anbietern und Geräten. Das Schließen von Sicherheitslücken ist komplex.“

Die Ergebnisse der Studie wurden erst veröffentlicht, nachdem die betroffenen Hersteller informiert und ihnen eine Frist von 90 Tagen eingeräumt wurde, um die Schwachstellen zu beheben. Alle entdeckten Sicherheitslücken wurden inzwischen geschlossen.

Um sich zu schützen, empfehlen die Forscher den Verbrauchern, ihr System und ihre Apps stets auf dem neuesten Stand zu halten und Updates sofort zu installieren. Außerdem sollten Apps ausschließlich über offizielle App-Stores heruntergeladen werden. Trotz dieser Vorsichtsmaßnahmen bleibt ein Problem bestehen: Die schnelle Markteinführung neuer Smartphones und Anwendungen lässt wenig Zeit für gründliche Sicherheitsüberprüfungen. Marcel Busch, ein Postdoc der HexHive-Gruppe, kommentiert: „Das lässt nicht viel Raum für die Sorgfalt, die aber für den Aufbau sicherer Systeme erforderlich wäre.“