Startseite News & Trends Sicherheitslücke in China-Smartphones

Sicherheitslücke in China-Smartphones

China-Smartphones
2

Chinesische Smartphones mit Sicherheitslücken auf dem Markt: Betroffen sind bis zu drei Millionen Geräte von Budget-Herstellern, die mit einer Android-Distribution des Entwicklerstudios Ragentek laufen. 

„Smartphones aus chinesischer Produktion“ – an und für sich kein besonders hervorstechendes Merkmal, lassen doch bis heute praktisch alle großen Marken den Löwenteil ihrer Produktion im Reich der Mitte fertigen. Doch die Massenproduktion hat Folgen, denn immer mehr der ehemaligen Auftragsunternehmen stellen sich als Eigenmarken auf, um selbst vom großen Smartphone-Geschäft zu profitieren. Der Vorteil: Niedrige Entwicklungskosten und ausgereifte Vor-Ort-Produktion mit kurzen Lieferwegen. Ein typisches „China-Smartphone“ ist oft deutlich billiger als ein Markengerät von Samsung, Apple und Co.
Der Nachteil: Viele Hersteller müssen zuverlässige Prozesse erst langwierig etablieren – Qualitätskontrolle eingeschlossen. Nun trifft es Geräte der Hersteller Xolo, Leagoo, Doogee, Infinix und Blu: Experten entdeckten erhebliche Sicherheitsmängel an der ausgelieferten Software.

Kein Android von der Stange: Individualisierung mit Problemen

Alle Hersteller haben derzeit mit gravierenden Sicherheitsproblemen zu kämpfen. Nach Ergebnissen des Sicherheitsspezialisten Anubis Networks liegt die Ursache offenbar in der vom chinesischen Softwareunternehmen Ragentek bereitgestellten Android-Distribution. Das integrierte Updateverfahren ist sog. „Man-in-the-Middle“-Angriffen schutzlos ausgeliefert. Denn das Ragentek-Android nimmt bei einer Updateanfrage via OTA eine Verbindung mit den Updateservern von Ragentek auf, die unverschlüsselt ist. Bei einem Man-in-the-Middle-Angriff klinkt sich ein Unbefugter in die Verbindung zwischen Endgerät und Server ein und gaukelt beiden Seiten vor, der jeweils passende Kommunikationspartner zu sein. Und damit nicht genug: Die Software versucht der Analyse von Anubis Networks zufolge, zwei weitere zuvor nicht registrierte Server zu kontaktieren. Ein Angreifer braucht also nichts weiter zu tun, als beide Server zu registrieren, um das Smartphone mit einer vorgetäuschten Legitimation zu kompromittieren.

Akute Abhilfe nur von Experten

Die gute Nachricht: Anubis Networks hat die erwähnten Server registriert, ein Angriff auf diesem Weg ist also zunächst nicht mehr möglich. Die schlechte Neuigkeit: Angriffe via Man-in-the-Middle sind nach wie vor prinzipiell möglich.
Nachdem Anubis die Server registriert hatte, haben rund 2,8 Millionen Smartphones versucht, Kontakt aufzunehmen. Die Geräte übertrugen bei den unverschlüsselten Serveranfragen zudem die Gerätekennnummer (IMEI) und die Telefonnummer des Nutzers! Immerhin – der betroffene Hersteller Blu hat die Sicherheitslücke ersten Berichten zufolge geschlossen.

Unsere Tarife ohne Handy

Kommentare (2)

  1. Hey,

    guter Artikel und Blog! Bin gerade am Überlegen zu welchem Smartphone ich als nächstes greife und habe aufgrund des Preises natürlich auch die chinesichen Vertreter auf dem Schirm.
    Jetzt weiß ich ja schon deutlich besser, welche Hersteller ich vielleicht vorerst noch meiden sollte.

    LG
    Konstantin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.