In vielen Smartphones verstecken sich gefährliche Sicherheitslücken, nicht alle werden von den Herstellern geschlossen. Wir geben Hilfe zur Selbsthilfe
- Gravierende Sicherheitslücke bei Android können Sie selbst schließen.
- Auch bei Apples iOS ist Vorsicht geboten.
- Microsoft-Lücken werden kaum genutzt.
In mehr als der Hälfte aller Android-Geräte klafft eine gravierende Sicherheitslücke. Sie ermöglicht es Hackern unter anderem, E-Mails mitzulesen oder Mobiltelefone mit Googles Betriebssystem sogar fernzusteuern. In Deutschland sind rund 18 Millionen Smartphone-Nutzer von diesem Sicherheitsproblem betroffen.
Und das Schlimmste: Sie werden von Google und den meisten Geräteherstellern im Stich gelassen. Die gefährliche Schwachstelle in Android wird durch WebView verursacht, das in den Versionen 4.3 und älter zum Einsatz kommt. Zahlreiche Apps sowie der Android-Werksbrowser nutzen WebView, um Webseiten oder Werbebanner anzuzeigen.
Die Schnittstelle ist jedoch anfällig für das sogenannte Universal Cross Site Scripting: Eine manipulierte Webseite könnte so etwa die E-Mails des Users mitlesen, wenn dieser bei einem Webmailer eingeloggt ist. Dazu muss er nur auf die Seite des Angreifers surfen. Der Sicherheitsexperte Tod Beardsley hat zudem festgestellt, dass ein Hacker über die Lücke auch vollen Zugriff auf das Gerät bekommen und beispielsweise das Mikrofon oder die Kamera heimlich einschalten könnte. Die Sicherheitslücke, die sich immerhin in knapp 60 Prozent aller aktiven Android-Geräte befindet, lässt sich zwar beheben oder umgehen, aber von Google können die User diesbezüglich keine Hilfe erwarten.
So schützen Sie ihr Smartphone vor dem BKA-Trojaner
Der Konzern argumentiert, man habe das Problem in den Android-Versionen 4.4 und 5.0 behoben und sieht seine Schuldigkeit damit getan. Doch viele ältere Geräte werden nicht mit Updates auf diese Versionen versorgt – auch weil die Hersteller nicht mitziehen. Sie verkaufen lieber neue Smartphones, als alte Geräte mit Updates zu versorgen. Deshalb muss jeder selbst tätig werden. Auch im oft als virenfrei beschriebenen iOS verbergen sich Lücken. Die Sicherheitslage ist zwar nicht so bedenklich wie bei Googles mobilem Betriebssystem, doch auch hier können Nutzer selbst einiges zu ihrer Sicherheit beitragen. Wir geben Hilfe zur Selbsthilfe.
Browser austauschen
Ob Sie beim Surfen mit Ihrem Smartphone gefährdet sind, hängt neben der Version Ihres Betriebssystems auch davon ab, welchen Browser Sie verwenden. In allen Android-Versionen bis 4.3 nutzt der Werksbrowser das lückenhafte WebView, um Seiten darzustellen – und öffnet damit Hackern Tür und Tor.
1 Android-Version checken
Zunächst sollten Sie überprüfen, ob eine der gefährdeten Android- Versionen auf Ihrem Smartphone installiert ist. Unsicher sind alle Versionen von Android 2.2 alias Froyo bis einschließlich 4.3 alias Jelly Bean. In ihnen kommt die anfällige WebView-Komponente WebKit zum Einsatz, auf die unter anderem der Android-Werksbrowser zurückgreift. Erst ab Android 4.4 ist die sichere WebView-Variante Blink verbaut, die Engine des Chrome-Browsers. Sie sollten also auf keinen Fall mit dem Werksbrowser surfen, wenn Sie eine Android-Version bis 4.3 verwenden. Falls Sie nicht auswendig wissen, welche Version auf Ihrem Gerät installiert ist, wechseln Sie in die Systemeinstellungen und tippen auf »Über das Telefon« . Sollte unter dem Eintrag »Android-Version »4.4« oder »5.0« stehen, können. Sie hier zu lesen aufhören: Sie sind sicher. In allen anderen Fällen sollten Sie weiter unserer Anleitung folgen.
2 Hersteller-Update überprüfen
Als Nächstes sollten Sie überprüfen, ob Ihr Gerätehersteller ein Update auf eine sichere Android-Version anbietet. Bleiben Sie dazu im Menü »Über das Telefon« und tippen Sie auf »Online-Aktualisierung «. Sollte das Smartphone keine Aktualisierung finden oder eine Version unter 4.4 als aktuellstes Update verfügbar sein, bleiben Ihnen zwei Optionen, um Ihr System abzusichern: Entweder Sie installieren einen alternativen Browser oder Sie aktualisieren Ihr Gerät manuell mit einem alternativen Betriebssystem. Letzteres ist zwar sicherer, weil es das Problem löst und nicht nur umgeht, aber nicht trivial und für
3 Alternativen Browser installieren
Im Prinzip eignet sich jeder Browser mit eigener Engine zur Umgehung der WebView-Lücke. Dazu gehören unter anderem Chrome, Firefox, Opera und Dolphin. Für Chrome gibt es jedoch eine Einschränkung: Google stellt für den Browser keine Updates mehr bereit, wenn er auf Android 4.0.4 oder noch älteren Systemen läuft. Auch Sicherheitsupdates gibt es dann nicht mehr. Wir empfehlen deshalb Firefox, da dieser Browser regelmäßig aktualisiert wird. Installieren können Sie Firefox wie andere Apps über den Google Play Store. Nach der Installation müssen Sie den neuen Browser als Standard definieren, damit Webinhalte künftig immer damit angezeigt werden. Öffnen Sie dazu einen Link, zum Beispiel aus einer E-Mail, setzen Sie im Fenster »Aktion durchführen mit« den Haken neben »Immer für diese Aktion verwenden« und tippen Sie dann auf das Icon des Browsers. Sollte sich statt des Dialogfensters ein Browser öffnen, lesen Sie Schritt 4.
4 Selbst updaten
Wer einen sicheren Browser nutzt, kann zwar die gravierendsten Probleme umgehen, die durch die WebView-Lücke entstehen. Das Problem, dass Werbebanner in Apps dadurch zum potenziellen Einfallstor für Angreifer werden, wir jedoch nicht gelöst, denn die Lücke selbst bleibt bestehen. Sie verschwindet erst durch das Update des Betriebssystems auf Android 4.4 oder höher. Stellt ein Gerätehersteller kein offizielles Update bereit, bleibt noch die Möglichkeit, ein alternatives Android-System – eine sogenanntes Custom-ROM (CR) – auf dem Gerät zu installieren.
Beim Rooten ist Vorsicht geboten. Da CRs permanent von der Entwickler-Community weiterentwickelt werden, sind sie quasi immer auf dem neuesten Stand. Die Installation einer alternativen Android-Version ist jedoch keinesfalls trivial: Der Nutzer braucht dazu volle Administratoren-, also Root-Rechte für sein Gerät. Die Hersteller räumen ihren Kunden diese Rechte jedoch nicht ein – aus gutem Grund: Ein gerootetes Gerät kann von Grund auf modifiziert werden, was im schlimmsten Fall dazu führt, dass das Smartphone oder Tablet nicht mehr funktioniert. Aus diesem Grund verlieren gerootete Geräte auch die Herstellergarantie. In manchen Fällen, wie der WebView-Lücke, bleibt dem Nutzer jedoch keine andere Möglichkeit. Die größte Hürde dabei: Je nach Hersteller und Gerät unterscheiden sich die Rootvorgänge voneinander. Manche Hersteller wie HTC und Sony erleichtern es der Entwickler- Community, andere wie Samsung erschweren das Prozedere enorm, was den Einsatz von Spezialsoftware wie Odin nötig macht. Entwicklerforen bieten Rooting-Hilfe Holen Sie sich am besten Rat in einem Entwicklerforum wie androidhilfe.de oder xda-developers.com. Hier finden sich für die meisten Geräte aktuelle Schritt-für-Schritt-Anleitungen.
Hilfreiche Software wie Rootkits und Backup-Tools finden Sie auf unserer Heft-DVD. Hat man einmal vollen Zugriff, muss im Anschluss eine Custom- Recovery-Software installiert werden, über die letztendlich das CR aufgespielt wird. Aber Vorsicht: Nicht jedes ROM funktioniert mit jeder Recovery. Lesen Sie am besten auch hier in den entsprechenden Foren nach. Da das Gerät bei der Installation eines CRs – oft auch schon beim Rooten – auf den Werkszustand zurückgesetzt wird, sollte man davor unbedingt ein Backup aller wichtigen Daten vornehmen. In der Regel müssen die meisten Schritte bis zur vollständigen Installation eines CRs von Hand durchgeführt werden. Das ist oft langwierig und kompliziert.
Für die CR CyanogenMod gibt es jedoch einen Installer, der alle notwendigen Schritte automatisch ausführt – quasi ein Rootkit für jedermann. Das Problem: Der Installer funktioniert nur bei Smartphones aus der Galaxy-Reihe, den Nexus-Geräten und dem HTC One. Wer ein anderes Modell besitzt, muss sich unter wiki. cyanogenmod.org die Installationsanleitung dafür besorgen. Der CyanogenMod empfiehlt sich wegen seiner Benutzerfreundlichkeit besonders für User, die zum ersten Mal ein CR installieren.
iOS-Apps lesen mit
Apple möchte Nutzer gerne glauben machen, dass sein mobiles Betriebssystem iOS keine Sicherheitsrisiken birgt. Deshalb verbannte der iPhone-Hersteller im März alle Antiviren-Apps aus dem App- Store. Begründung: Solche Apps könnten User zu der Vermutung drängen, es gäbe Viren für iOS. Da Apple Anwendungen viel strenger als Google prüft, bevor sie in den App Store gelangen, gibt es zwar fast keine schädlichen Apps für iPhone und iPad. Doch frei von Fehlern ist iOS keineswegs: Mit dem Update auf die neueste Version 8.3 veröffentlichte Apple eine Liste mit knapp 60 Sicherheitslücken, die darin geschlossen wurden – darunter Bugs in der Browser-Engine WebKit, die Angriffe per Remote Code Execution ermöglichen (siehe rechts). Anders als Google verteilt Apple Updates immerhin an die meisten Geräte – auch an ältere: iOS 8.3 läuft auf allen iPhones bis zurück zum dreieinhalb Jahre alten 4S.
Windows mobil sicher
Zur Sicherheit bei Windows Phone gibt es im Grunde wenig zu sagen. Nur so viel: Bislang bekannte Lücken werden praktisch nicht ausgenutzt. Der Hauptgrund dafür ist die geringe Verbreitung des Betriebssystems: In Deutschland kommt Windows Phone nur auf einen Marktanteil von knapp 2,5 Prozent, weltweit noch weniger. Das macht dieses System für Hacker schlichtweg uninteressant. Ein anderer Grund liegt in den hohen Sicherheitsauflagen, die an Anwendungen gestellt werden: „Microsoft kontrolliert Apps sogar strenger als Apple“, erklärt Sicherheitsexperte Mike Morgenstern von AV-Test. Hinzu kommt, dass anders als auf dem Desktop Prozesse bei Windows Phone sehr eingeschränkt laufen: „Auch wenn jemand Zugriff auf eine App bekäme, könnte er noch lange nicht das System selbst angreifen“, so Morgenstern. Da Microsoft seine Mobilgeräte zudem regelmäßig mit Updates versorgt, ist Windows Phone für sicherheitsbewusste Smartphone-Nutzer eine gute Wahl.
Gesehen auf:
