Anzeige
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte.
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte. (Bild: Mediatek)

Smartphone-Security: Root-Backdoor macht Mediatek-Smartphones angreifbar

Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte.
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte. (Bild: Mediatek)

Eine Debug-Funktion für Vergleichstests im chinesischen Markt führt dazu, dass zahlreiche Smartphones mit Mediatek-Chipsatz verwundbar sind. Angreifer können eine lokale Root-Shell aktivieren. Auch Geräte auf dem deutschen Markt könnten betroffen sein.

Zahlreiche Android-Smartphones mit Mediatek-SOCs sind für Angriffe anfällig - weil die Hersteller eine zu Testzwecken installierte Debug-Schnittstelle vor der Auslieferung nicht aus dem Code entfernt haben. Der Chiphersteller Mediatek macht die Gerätehersteller für die Schwachstelle verantwortlich - diese sollten mit der Schnittstelle verschiedene Kompatibilitätstests durchführen, diese dann aber vor Auslieferung an die Kunden schließen.

Anzeige

"Nach dem Testen sollten Gerätehersteller das Debug-Feature deaktivieren, bevor das Gerät an die Kunden ausgeliefert wird. Nachdem wir die externen Hinweise untersucht haben, haben wir herausgefunden, dass einige Hersteller das Feature nicht deaktiviert haben, was ein potenzielles Sicherheitsrisiko darstellt", heißt es in einem Statement des Unternehmens. Betroffen sind nach Angaben von Mediatek selbst "einige" Modelle vorwiegend chinesischer Hersteller, die mit Android in der Version 4.4 laufen. Konkrete Modelle nennt das Unternehmen nicht.

Schwachstelle ermöglicht lokale Root-Rechte

Die Schwachstelle ermöglicht es, Root-Rechte auf dem Gerät zu erwerben und könnte zur Verbreitung von Malware oder der Kompromittierung persönlicher Daten führen. Ist das Debug-Feature im Code vorhanden, kann während des Bootvorgangs der Wert für ro.properties, also Schreibrechte für bestimmte Dateibereiche, aktiviert werden. Auch die Werte für ro.secure und ro.adb.secure können so manipuliert werden, um schließlich Zugriff auf eine lokale Root-Shell zu bekommen.

Der Hacker Justin Case hatte Mediatek auf Twitter im Januar auf die Schwachstelle aufmerksam gemacht. Auch wenn das Team auf seine Tweets reagierte, beklagte er sich über fehlende offizielle Kanäle, um Schwachstellen zu melden. Auch ein strukturiertes Bug-Bounty-Programm scheint es bei Mediatek nicht zu geben, ein Link auf Hackerone führt nur zu einer leeren Beschreibung.

Geräte chinesischer Hersteller mit Mediatek-Chipsätzen sind auch in Deutschland erhältlich, zum Beispiel verschiedene Geräte der Blade-Serie von ZTE. Auch günstige Tablets von Lenovo sind mit dem Chipsatz ausgestattet und werden mit Android 4.4 ausgeliefert. Ob diese Geräte für die Schwachstelle anfällig sind, können wir derzeit leider nicht klären.


eye home zur Startseite
M.P. 04. Feb 2016

Jaja http://www.spiegel.de/auto/aktuell/takata-airbags-der-rekord-rueckruf-a-1034632.html

Kommentieren



Anzeige

  1. Systemberater/in EAI Plattformen
    Robert Bosch GmbH, Stuttgart
  2. Softwareentwickler für sicherheitsgerichtete Systeme in der Intralogistik (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Systemarchitekt (m/w) - Surround View (ADAS)
    Continental AG, Ulm
  4. (Senior-)Berater (m/w) SAP Business Intelligence
    Capgemini Deutschland GmbH, verschiedene Einsatzorte

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  2. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  3. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  4. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  5. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  6. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  7. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  8. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  9. Google

    Livestreaming direkt aus der Youtube-App

  10. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Android Wear 2.0 im Hands on: Googles Aufholjagd mit Komplikationen
Android Wear 2.0 im Hands on
Googles Aufholjagd mit Komplikationen
  1. Android Wear 2.0 Google etabliert Fragmentierung bei Smartwatches
  2. Microsoft Outlook-Watch-Face für Android-Smartwatches
  3. Samsung Keine neuen Smartwatches mit Android Wear geplant

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

Honor 5C im Hands on: Viel Smartphone für wenig Geld
Honor 5C im Hands on
Viel Smartphone für wenig Geld
  1. Smartphone Honor 7 Premium ab dem 2. Mai für 350 Euro erhältlich
  2. V8 Honors neues Smartphone hat eine Dual-Kamera

  1. Re: Das wird die EU retten!

    /mecki78 | 02:49

  2. Re: Das ist ein Fan-Film-Verbot

    Sharra | 02:42

  3. Kleiner Verbesserungsvorschlag an die Redaktion

    havok2 | 02:13

  4. Re: Dann schreibt die doch mal und fragt wann die...

    KrAtZer | 01:45

  5. Re: Endlich...

    Berner Rösti | 01:40


  1. 14:45

  2. 13:59

  3. 13:32

  4. 10:00

  5. 09:03

  6. 17:47

  7. 17:01

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel