Aktuell machen wieder Schlagzeilen über eine neue Sicherheitslücke in einigen billig China-Handys die Runde. Aufgedeckt wurde die Lücke von den Sicherheitsforschern bei Anubisnetworks. Basierend darauf werden nun aber auch viele Unwahrheiten in der Tech Landschaft verbreitet. Wir wollen an dieser Stelle einmal klarstellen, was das tatsächliche Problem ist.
Anubisnetworks hat eine schwere Sicherheitslücke im Android OTA Updater von Geräten gefunden, die vom chinesischen OEM Ragentek kommen. In diesem Updater wird - der Natur der Sache gemäß - eine Verbindung zu externen Servern hergestellt. Das Problem daran ist allerdings, dass hier auch zwei Domains dabei waren, welche gar nicht registriert sind bzw. waren.
Das bedeutet im Endeffekt, dass Hacker, welche diese Lücke aufgedeckt hätten, diese Domains für sich registrieren konnten. Daraus resultierend bestand die Möglichkeit Informationen über die Geräte zu sammeln. Doch nicht nur das. Da ein OTA Updater weitgehende Rechte im System hat (Root Zugriff), kann der Angreifer Schadsoftware im System ausführen.
Aktuell besteht diese Möglichkeit allerdings nicht mehr, denn Anubisnetworks hat nun genau das getan, was die Angreifer hätten tun können. Die nicht registrierten Domains wurden registriert und damit einige Nachforschungen getrieben. So wurde ein Proof of Concept entwickelt, um zu demonstrieren, dass man die Lücke tatsächlich ausnutzen kann. Weiterhin wurden Zahlen gesammelt. So sollen rund 3 Millionen Geräte betroffen sein. Hier fällt auch, wie bei der jüngst aufgedeckten Lücke, wieder der Name Blu, aber auch uns bekannte Namen wie Doogee, Leagoo und Xolo.
Zu folgenden Geräten in freier Wildbahn konnten die Forscher von Anubisnetworks eine Relation basierend auf ihren Zugriffsstatistiken ableiten:
Langsam beginnen wir echt an der Kompetenz der deutschen Tech Medien zu zweifeln. Warum? Basierend auf dem ausführlichen Bericht von Anubisnetworks, beginnen nun so ziemlich alle größeren Magazine und Tech Blogs über das Problem zu berichten. Leider werden dabei mal wieder viele Unwahrheiten verbreitet.
So berichten Seiten wie Golem und Winfuture beispielsweise von einem Rootkit, einer Backdoor oder einer Schadsoftware. Fakt ist aber, dass es sich hier nicht direkt um Schadsoftware handelt. Die potentiellen Auswirkungen sind zwar ähnlich, allerdings muss man hier klar differenzieren. Immerhin handelt es sich bei dem OTA Updater ganz offensichtlich nur um eine sehr dilettantisch programmierte Software. Ein Klassiker also, den jeder erfahrene Chinaphone Nutzer sofort als "typisch China" bezeichnen wird.
Wir gehen davon aus, dass Ragentek diese Domains einst für die Updates genutzt hat, diese dann aber nicht mehr verlängert hat, da sie nicht mehr benötigt wurden. Letztlich wurden diese dann aber nicht aus dem Update entfernt, was wiederum für die Offene Lücke gesorgt hat.
Einige Berichte gehen sogar soweit und machen die Geschichte zu einem Problem aller China Handys. Sehen wir uns allerdings die Liste an, dann wird ganz schnell klar, dass hier nur Geräte des untersten Preissegments betroffen sind. Dies untermauert unserer Ansicht nach unsere vorhergehende Vermutung mit den vergessenen Domains im OTA Updater. Sparkurs lässt grüßen, da wird eben nicht mehr so genau kontrolliert. Der Kunde will's ja günstig!
Was ebenfalls erwähnt werden muss: Alle betroffenen Geräte die eindeutig zugeordnet werden konnten, sind schon recht alt. Es könnte also durchaus sein, dass neuere Smartphones die von Ragentek gefertigt werden, nicht mehr davon betroffen sind. Zu diesen neueren Geräten zählen z.B. das Elephone S3 und das kommende Bluboo Edge.
Nun fragen sich sicherlich viele, was Ragentek für eine Firma ist und was diese mit Doogee, BLU und Co. zu tun hat. Diese wichtige Information geht leider aus keinem Artikel hervor. Einige Seiten sprechen von einer "Ragentek Firmware", doch das ist nur die halbe Wahrheit.
Kurzum: Ragentek (www.ragentek.com) ist ein reiner OEM Hersteller. Solche Unternehmen entwickeln und Produzieren Smartphones, welche dann von anderen Firmen unter deren Namen verkauft werden. Die wenigsten der kleineren China Hersteller bauen all ihre Smartphones selber. Zu einem großen Teil werden diese als OEM Basis von Herstellern wie Ragentek zugekauft und eventuell etwas angepasst. Doogee macht das, Leagoo macht da, Elephone macht das - diese Liste können wir ganz lange fortführen.
Bis auf die Änderungen, welche Hersteller wie Doogee und Leagoo selbst durchführen, liefert Ragentek also ein rundum sorglos Paket aus. Im Falle dieser günstigen Smartphones gehen die Anpassungen der Firmen, welche die Geräte dann letztlich verkaufen, gegen Null. Man bekommt also quasi ein Ragentek Smartphone (oder ein Smartphone eines beliebigen anderen OEM Herstellers), auf das lediglich ein Logo gepappt wird und ein paar Build Prop Infos getauscht werden.
Wer nun denkt, wir wollen mit diesem Artikel das Problem unter den Tisch kehren, dem sei gesagt, dass dies absolut nicht der Fall ist. Wir wollen lediglich mit den Halbwahrheiten aufräumen, welche hier gerade in Umlauf gebracht werden.
Ja, das Problem ist tatsächlich signifikant, und es ist eine Schande, dass die Chinesen die Arroganz, Ignoranz und Faulheit, welche sie oftmals in verschiedenen Bereichen ihrer Geschäfte an den Tag legen, auch in der Software Basis der Geräte mit einbringen. Auch wenn die Lücke nun aktuell unbrauchbar ist, weiß man nie, welche Lücken noch so in den Geräten klaffen. Insofern ist die Nutzung eines China Handys - vor allem der extremen Billigheimer - in der Tat ein potentielles Risiko.
Wir würden uns wünschen - und empfehlen das jedem Hersteller der auf Dauer sein Gesicht wahren möchte - dass sämtliche Geräte, und damit meinen wir auch die zugekauften OEM Basen, gründlichst geprüft werden. Sollen die Geräte doch 10 oder 20 Dollar mehr kosten. Dem guten Ruf schadet es am Ende nicht. Der Sparkurs auf Dauer schon.
Wie sieht es bei euch aus? Hat die Aufdeckung dieser Lücke euer Denken über China Handys geändert? Werdet ihr in Zukunft nur noch zu Marken Geräten aus Fernost greifen oder von den China Devices ganz dei Finger lassen? Schreibt mal eure Meinung in die Kommentare.
Golem / Winfuture / Ragentek / KB.cert.org / Anubisnetworks
Gib deinen Text hier ein ...
Kommentare