Abo
  • Services:
Anzeige
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte.
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte. (Bild: Mediatek)

Smartphone-Security: Root-Backdoor macht Mediatek-Smartphones angreifbar

Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte.
Smartphones mit Mediatek-Chipsatz ermöglichen lokale Root-Rechte. (Bild: Mediatek)

Eine Debug-Funktion für Vergleichstests im chinesischen Markt führt dazu, dass zahlreiche Smartphones mit Mediatek-Chipsatz verwundbar sind. Angreifer können eine lokale Root-Shell aktivieren. Auch Geräte auf dem deutschen Markt könnten betroffen sein.

Zahlreiche Android-Smartphones mit Mediatek-SOCs sind für Angriffe anfällig - weil die Hersteller eine zu Testzwecken installierte Debug-Schnittstelle vor der Auslieferung nicht aus dem Code entfernt haben. Der Chiphersteller Mediatek macht die Gerätehersteller für die Schwachstelle verantwortlich - diese sollten mit der Schnittstelle verschiedene Kompatibilitätstests durchführen, diese dann aber vor Auslieferung an die Kunden schließen.

Anzeige

"Nach dem Testen sollten Gerätehersteller das Debug-Feature deaktivieren, bevor das Gerät an die Kunden ausgeliefert wird. Nachdem wir die externen Hinweise untersucht haben, haben wir herausgefunden, dass einige Hersteller das Feature nicht deaktiviert haben, was ein potenzielles Sicherheitsrisiko darstellt", heißt es in einem Statement des Unternehmens. Betroffen sind nach Angaben von Mediatek selbst "einige" Modelle vorwiegend chinesischer Hersteller, die mit Android in der Version 4.4 laufen. Konkrete Modelle nennt das Unternehmen nicht.

Schwachstelle ermöglicht lokale Root-Rechte

Die Schwachstelle ermöglicht es, Root-Rechte auf dem Gerät zu erwerben und könnte zur Verbreitung von Malware oder der Kompromittierung persönlicher Daten führen. Ist das Debug-Feature im Code vorhanden, kann während des Bootvorgangs der Wert für ro.properties, also Schreibrechte für bestimmte Dateibereiche, aktiviert werden. Auch die Werte für ro.secure und ro.adb.secure können so manipuliert werden, um schließlich Zugriff auf eine lokale Root-Shell zu bekommen.

Der Hacker Justin Case hatte Mediatek auf Twitter im Januar auf die Schwachstelle aufmerksam gemacht. Auch wenn das Team auf seine Tweets reagierte, beklagte er sich über fehlende offizielle Kanäle, um Schwachstellen zu melden. Auch ein strukturiertes Bug-Bounty-Programm scheint es bei Mediatek nicht zu geben, ein Link auf Hackerone führt nur zu einer leeren Beschreibung.

Geräte chinesischer Hersteller mit Mediatek-Chipsätzen sind auch in Deutschland erhältlich, zum Beispiel verschiedene Geräte der Blade-Serie von ZTE. Auch günstige Tablets von Lenovo sind mit dem Chipsatz ausgestattet und werden mit Android 4.4 ausgeliefert. Ob diese Geräte für die Schwachstelle anfällig sind, können wir derzeit leider nicht klären.


eye home zur Startseite
M.P. 04. Feb 2016

Jaja http://www.spiegel.de/auto/aktuell/takata-airbags-der-rekord-rueckruf-a-1034632.html



Anzeige

Stellenmarkt
  1. Daimler AG, Kirchheim unter Teck
  2. über Ratbacher GmbH, Hamburg
  3. Bertrandt Services GmbH, Freiburg
  4. Springer Nature, Berlin


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 69,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  2. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate

  3. Azure Service Fabric

    Microsoft legt wichtige Cloud-Werkzeuge offen

  4. Internet of Things

    Fehler in Geschirrspüler ermöglicht Zugriff auf Webserver

  5. Vikings im Kurztest

    Tiefgekühlt kämpfen

  6. Deep Sea Mining

    Nautilus Minerals will Gold auf dem Meeresgrund abbauen

  7. Festplatten zerstören

    Wie man in 60 Sekunden ein Datencenter auslöscht

  8. Supercomputer

    HPE und BASF kooperieren für die industrielle Chemie

  9. Lufthansa

    Hyperloop könnte innerdeutsche Flüge ersetzen

  10. Blitzkrieg 3

    Neuronale-Netzwerke-KI für Echtzeit-Strategiespiel verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Patentantrag Apple will iPhone ins Macbook stecken
  2. Übernahme Apple kauft iOS-Automatisierungs-Tool Workflow
  3. Instandsetzung Apple macht iPhone-Reparaturen teurer

  1. Re: Zerstörung von beweisen?

    der_wahre_hannes | 16:29

  2. Re: Wie wär's der guten alten Verschlüsselung?

    _Winux_ | 16:28

  3. Re: inb4 Diskussion

    Ovaron | 16:27

  4. Re: Hoffentlich verlangt jemand von denen eine...

    lear | 16:26

  5. Re: Mit dem Transrapid hätte man...

    M.P. | 16:25


  1. 16:20

  2. 16:04

  3. 15:18

  4. 14:15

  5. 14:00

  6. 13:30

  7. 12:00

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel