Sicherheitsforscher der Firma Eset haben eine bisher unbekannte Sicherheitslücke aufgedeckt, die noch immer über eine Milliarde WLAN-fähiger Smartphones, Tablets und Router betreffen soll. Was ist jetzt zu tun und was steckt hinter der Sicherheitslücke?
Stuttgart - Sicherheitsforscher der slowakischen Firma Eset haben eine bisher unbekannte Sicherheitslücke aufgedeckt, die wohl noch immer über eine Milliarde WLAN-fähiger Smartphones, Tablets und Router betrifft. Was ist jetzt zu tun und was steckt hinter der Sicherheitslücke? Die wichtigsten Fragen und Antworten:
Die Forscher überprüften bei Amazon-Geräten eine ältere Sicherheitslücke und kamen dabei einer neuen auf die Spur. Diese betrifft einen Großteil aller Smartphones, Tablets und weitere vernetzte Geräte. Anfällig sind die WLAN-Chips der Firmen Cypress und Broadcom, die milliardenfach verbaut sind. Die Sicherheitslücke haben die Forscher „Kr00k“ genannt.
Das Risiko tritt immer auf, wenn sich die Geräte mit dem WLAN verbinden. Das geschieht recht häufig, weil es immer wieder kurze Verbindungsabbrüche gibt, die die Nutzer beim Surfen gar nicht bemerken. Die Sicherheitslücke nutzt dabei einen Prozess aus, der bei Unterbrechungen eigentlich Abhilfe schaffen soll, erklärt Eset-Sicherheitsexperte Thomas Uhlemann. In diesen kurzen Zeiten können Daten gesammelt und die Kommunikation mitgelesen werden. Hacker können auch eigene Datenpakete einschleusen.
Gefährlich ist es, wenn die Nutzer auf unverschlüsselten Webseiten surfen, die statt mit https:// nur mit dem Kürzel http:// beginnen. Unverschlüsselte Webseiten sind nicht mehr Standard, finden sich aber immer wieder bei Vereinen, manchen Arztpraxen oder selbst bei mittelständischen Unternehmen, wie Uhlemann betont. Werden hier Kennwörter, Konto- oder Kreditkartendaten eingetragen, ist das für Angreifer möglicherweise zu sehen. Die Hacker könnten diese Seiten auch so manipulieren, dass die Nutzer auf andere, manipulierte Webseiten weitergeleitet werden, ohne dass der Nutzer das merkt. Auf diesen könnten sie Nutzer dazu animieren, Schadsoftware herunterzuladen, um dann Smartphone, Tablet oder vernetze Lautsprecher zu übernehmen und auszuspionieren.
Lesen Sie hier: Wenn der Toaster das Telefon angreift
Für den normalen Verbraucher ist sie eher gering, weil die Hacker in Funkreichweite der WLAN-Router agieren müssen. Firmen sind laut Uhlemann stärker gefährdet, da Angreifer auch heimlich ein Gerät, das den WLAN-Verkehr erfasst, vor Ort platzieren könnten. Die Überwachung des Verkehrs geschieht dann automatisiert. „Der Angriff ist nicht ganz einfach, aber auch nicht unwahrscheinlich“, sagt Uhlemann.
Grundsätzlich sollte man davon ausgehen, dass fast jedes Smartphone oder Tablet die Sicherheitslücke aufweisen kann. Die Eset-Forscher fanden in eigenen Tests heraus, dass zu den anfälligen Geräten jene von Amazon (Echo, Kindle), Apple (iPhone, iPad, MacBook), Samsung (Galaxy), Google (Nexus), Xiaomi (Redmi) sowie einige von Asus und Huawei gehörten. Eset hatte die Hersteller aber schon benachrichtigt, so dass diese bereits Sicherheits-Updates veröffentlicht haben. Ein Vergleich: In Deutschland gibt es knapp 60 Millionen Smartphone-Nutzer.
Die Chips selbst müssen nicht getauscht werden. Die Verbraucher sollten sich aber vergewissern, dass Sicherheits-Updates automatisch installiert werden. Andernfalls sollten Sie diese möglichst schnell manuell herunterladen. Allerdings geht Eset davon aus, dass es weltweit mindestens eine Milliarde Geräte gibt, für die noch kein Sicherheitsupdate bereitgestellt wurde oder generell keins bereitgestellt wird.
Sind Smartphones mehrere Jahre alt, wird die Software oft nicht mehr aktualisiert und Sicherheitsupdates werden nicht mehr automatisch oder verspätet bereitgestellt. Verbraucher sollten sich vergewissern, ob die Geräte in den vergangenen sechs Monaten ein Update erhalten haben – dann werden sie höchstwahrscheinlich auch die entsprechend notwendige Aktualisierung erhalten haben. Wenn nicht, sollte man sich überlegen, ein aktuelles Smartphone zu nutzen. Man sollte auf keinen Fall mit einem älteren Gerät Banküberweisungen vornehmen oder sensible Daten eingeben.
Der Fall zeigt, dass auch Hardware unsicher sein kann und die Hersteller Chips oder andere Smartphone-Teile von immer weniger Herstellern beziehen, weil es für sie günstiger ist. „Eine solche Homogenität ist in der IT-Security aber nie sinnvoll“, sagt Sicherheitsexperte Uhlemann. Neue Sicherheitslücken könnten künftig also noch weitreichendere Folgen haben. Hacker würden sich auch zunehmend auf die Kommunikation der Geräte mit den WLAN-Routern konzentrieren, so Uhlemann. Die Zahl der Angriffe auf Router steige. „Für Cyberkriminelle ist nichts attraktiver, als mit den Routern die Schnittstellen zum Internet kontrollieren zu können.“
Der Fall befeuert auch die Debatte über verpflichtende Sicherheitsupdates von Smartphones. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert, dass die Smartphone-Hersteller sicherheitsrelevante Software-Aktualisierungen für einen Zeitraum von fünf Jahren nach dem Erscheinen des jeweiligen Geräts bereitstellen müssen. Das BSI und andere Sicherheitsexperten halten Nutzer auch an, sich mehr mit der Sicherheit ihrer Geräte zu beschäftigen. „Ein Nutzer muss sich von der Vorstellung verabschieden, dass sich der Hersteller um alles kümmert“, sagt Uhlemann.
