Schwere Sicherheitslücke in Millionen von Xiaomi-Smartphones gefunden
Sie steckt in einem vorinstallierten Analytics-Paket. Laut Experten von IBM macht sie unter anderem den Browser für Man-in-the-Middle-Angriffe anfällig. Darüber lässt sich dann Schadcode einschleusen und mit Systemrechten ausführen.
Sicherheitsforscher von IBM haben eine als kritisch eingestufte Schwachstelle in einem Analytics-Paket von MIUI gefunden, der von Xiaomi verwendeten Version von Googles Mobilbetriebssystem Android. Mehrere vorinstallierte Apps, die das Paket enthalten, sind anfällig für Man-in-the-Middle-Angriffe. Sie erlauben das Einschleusen und Ausführen von Schadcode auf Systemebene. Ein Angreifer könnte also aus der Ferne Schadsoftware installieren.
Die Forscher gehen davon aus, dass mehrere Millionen der im vergangenen Jahr ausgelieferten 70 Millionen Xiaomi-Smartphones betroffen sind. Sie weisen zudem darauf hin, dass MIUI-Builds auch für zahlreiche Geräte anderer Anbieter erhältlich sind.
Entdeckt wurde die Anfälligkeit in der MIUI-Version 6.1.8. Zu den anfälligen Apps zählt unter anderem der ab Werk vorinstallierte Browser. “Wenn eine anfällige App als System-Nutzer ausgeführt wird, würde ein großer Teil des Nutzerbereichs von Android kompromittiert”, schreiben die Forscher. Mindestens eine App erfülle dieses Kriterium und habe unter Laborbedingungen eine Remotecodeausführung ermöglicht.
Die Schwachstelle steckt in der Update-Funktion. Sie aktualisiert das Analytics-Paket der fraglichen Apps über eine unsichere Verbindung wie HTTP. Bei einem Man-in-the-Middle-Angriff kann die URL, über die das eigentliche Update heruntergeladen wird, verändert werden, um ein schädliches Installationspaket (APK) einzuschleusen. Da keine kryptografische Echtheitsprüfung der Installationsdatei durchgeführt wird, wird im Rahmen des Updates das Analytics-Paket durch das schädliche Paket ersetzt.
Xiaomi hat die Sicherheitslücke inzwischen geschlossen. Die IBM-Forscher loben in dem Zusammenhang die Zusammenarbeit mit dem chinesischen Unternehmen und seine schnelle Reaktion. Das fehlerbereinigte Update auf die MIUI-Version 7.2 steht bereits zum Download bereit.
Die Forscher raten Entwicklern zudem, ausführbaren Code nur über eine verifizierte und verschlüsselte Verbindung zu übertragen. Darüber hinaus sei es erforderlich, den Code selbst zu signieren und dessen Echtheit vor der Ausführung durch die Host-Anwendung überprüfen zu lassen.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de