WDR 2 Multimedia - Sicherheitslücke bei Android: Smartphones schützen

Bild 1 vergrößern +

Vorsicht, Sicherheitslücke: Smartphone mit Android-Betriebssystem

Die Sicherheitslücke, die erst jetzt entdeckt wurde, baut auf einer ziemlich alten Technik auf, die auch schon in Handys vor über 10 Jahren eingebaut war. Wer auf der Tastatur statt der Telefonnummer bestimmte Codes eingibt, kann damit im Handy spezielle Aktionen auslösen. Der Code *#06# beispielsweise zeigt die Seriennummer des Handys, die so genannte IMEI-Nummer an. So weit, so normal. Smartphones mit dem Android-Betriebssystem können solche Steuercodes allerdings auch per Internet oder SMS entgegennehmen. Die entsprechenden Befehle in den Steuercodes werden direkt und ohne Nachfrage ausgeführt.

Sicherheitslücke in fast allen Android-Versionen

Je nach Hersteller des Handys gibt es unterschiedliche Codes für die verschiedensten Funktionen. So lassen sich manche Geräte per Steuerbefehl vollständig löschen, bei anderen lässt sich die im Handy eingelegte SIM-Karte dauerhaft sperren. Nach Bekanntwerden der Sicherheitslücke vor einigen Wochen haben Experten zuerst gedacht, es sei ein Problem bestimmter Handy-Modelle. Inzwischen weiss man aber, dass die eigentliche Sicherheitslücke im Betriebssystem Android steckt, das Millionen von Smartphones verwenden. Google, der Hersteller von Android, hat die Sicherheitslücke inzwischen abgestellt – allerdings erst in der aktuellsten Android-Version 4.1. Diese ist erst seit Juli verfügbar und wird bisher nur von etwa zwei Prozent der Android-Geräte genutzt.

Ist mein Handy überhaupt betroffen?

Wer wissen will, ob sein Gerät betroffen ist, kann eine spezielle Internetseite aufrufen, die die Sicherheitsexperten der von "heise.de" eingerichtet haben. Der "USSD-Check" schickt einen speziellen Steuerbefehl an das Handy; in diesem Fall aber einen harmlosen. Wer von der Sicherheitslücke betroffen ist, bekommt ohne weitere Nachfrage die Seriennummer seines Gerätes angezeigt. Abhilfe würde ein Update auf das neueste Betriebssystem Android 4.1. schaffen; für viele Geräte gibt es das entsprechende Update aber nicht – und wird es möglicherweise auch nie geben. Die Hersteller müssten die von Google herausgegebene Version des Betriebssystems auf ihre jeweiligen Handys anpassen – viele Hersteller haben aber offensichtlich kein großes Interesse daran, sondern wollen lieber neue Geräte mit dem dann jeweils aktuellsten Betriebssystem verkaufen.

Abhilfe per kostenlosem Zusatzprogramm

Abhilfe kann man aber auch anders schaffen: Im Download-Shop der Handys gibt es spezielle Programme, die die Steuerbefehle auffangen können. Eines davon ist das kostenlose "NoTelURL", das bereits mehr als 100.000 Nutzer heruntergeladen haben. Nach Installation des Programms werden Steuerbefehle nicht einfach ausgeführt, sondern das Handy fragt nach – so lassen sich schädliche Befehle abfangen. Genauso machen es übrigens auch Geräte mit anderen Betriebssystemen wie beispielsweise das iPhone: Sie zeigen an, dass ein entsprechender Steuerbefehl empfangen wurde; führen diesen aber nicht ohne Weiteres aus.

Muss ich wirklich reagieren?

Die Frage ist, ob man die aufgetauchte Sicherheitslücke überhaupt richtig ernst nehmen muss. Es gibt bereits Experten, die glauben, dass diese Lücke keine besonders große Verbreitung finden wird. Und zwar deshalb, weil man Besitzer eines Android-Handys mit den Steuerbefehlen zwar ärgern und ihr Telefon löschen oder die SIM-Karte unbrauchbar machen kann; anders als bei Viren oder Trojanern auf dem PC lässt sich mit der Lücke aber (zumindest bisher) kein Geld verdienen. Das heisst: Profi-Hacker werden sich mit dieser Lücke vermutlich gar nicht erst großartig beschäftigen.