![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In \"Billig-\" China-Handys ist mal eine zweite, gravierende, Schwachstelle entdeckt worden. \u00dcber die Backdoor bzw. das Rootkit k\u00f6nnen Android-Apps mit Root-Rechten installiert werden. Betroffen k\u00f6nnten 3 Millionen Android-Ger\u00e4te sein.<\/p>\n
<\/p>\n
Die Entdeckung erfolgte durch den Sicherheitsdienstleister Anubis Networks, der das Ganze in diesem Blog-Beitrag beschrieben hat. Nachdem die oben beschriebene Backdoor in BLU-Handys entdeckt wurde, haben sich die Sicherheitsspezialisten ein Smartphone, BLU Studio G \u00fcber die US-Handelskette Best Buy, besorgt. Dort kommt ein Android-ROM des chinesischen Anbieters Ragentek zum Einsatz. Dieses ROM findet sich in Smartphones von Blu, Infinix, Doogee, Leagoo und Xolo.<\/p>\n Beim Aufsetzen des Ger\u00e4ts bzw. des installierten Androids wurde der Netzwerkverkehr aufgezeichnet. Schon kurze Zeit nach dem Einschalten wurde ein unverschl\u00fcsselte Verbindung mit dem Ragentek-Server\u00a0 oyag[.]lhzbdvm[.]com festgestellt. Anschlie\u00dfend versuchte das Ger\u00e4t noch zwei weitere, vorkonfigurierte (aber nicht registrierte) Server zu kontaktieren. Nachdem Anubis diese Domains selbst reservierte und aufsetzte, konnten die Anfragen \u00fcber das Netzwerk analysiert werden.<\/p>\n Nach der Analyse steht fest: Das betreffende Android-ROM verwendet einen Update-Mechanismus f\u00fcr Over the Air-Updates (OTA), der unverschl\u00fcsselt mit dem Server von Ragentek abgewickelt wird. Dies erm\u00f6glicht Man in the middle-Angriffe auf das betreffende Ger\u00e4t und der Angreifer k\u00f6nnte das Android-Ger\u00e4t beliebig manipulieren.<\/p>\n Aber noch gravierender ist die zweite Problemstelle: Im Code des ROM werden zwei Domains angesprochen, die zum Zeitpunkt des Erwerbs des Testger\u00e4ts durch Anubis Networks noch nicht registriert waren. Anubis Networks hat diese beiden Domains registriert und unter Kontrolle. H\u00e4tte ein Angreifer sich eine oder beide Domains registrieren lassen, h\u00e4tte er Zugriff auf die betreffenden Ger\u00e4te erlangen k\u00f6nnen.<\/p>\n Anubis Networks gibt an, dass seit der Registrierung der beiden Domains insgesamt 2,8 Millionen Android-Ger\u00e4te versucht h\u00e4tten, sich mit dem Server in Verbindung zu setzen. Gem\u00e4\u00df obiger Grafik sind gut 1\/4 der Ger\u00e4te von Blu dabei gewesen. Bei den unverschl\u00fcsselten Kontaktanfragen wurden sowohl die IMEI des Ger\u00e4ts als auch dessen Telefonnummer an die von Anubis Networks aufgesetzten Server \u00fcbertragen. Weitere Details finden sich in dieser CERT-Meldung<\/a>.<\/p>\n Nachtrag: Bei Arstechnic<\/a> findet sich der Hinweis, dass Jo\u00e3o Gouveia, ein Sicherheitsforscher bei BitSight, der in die Analyse einbezogen war, in einem Tweet<\/a> weitere Infos publiziert hat. Die Leute haben Verbindungsanfragen aus allen m\u00f6glichen Sektoren, angefangen von Verbindungsversuchen aus dem Gesundheitswesen \u00fcber Ger\u00e4te im Bankensektor bis hin zu Beh\u00f6rdenger\u00e4ten festgestellt wurden. Irgendwie erschreckend, wo die Billig-Ger\u00e4te \u00fcberall landen. Bei Arstechnica spricht Gouveia vom Verhalten der Software wie bei einem Rootkit.<\/p>\n Nachtrag 2: Bei Golem findet sich dieser deutschsprachige Beitrag<\/a> mit Informationen zum Thema.<\/p><\/blockquote>\n Der Anbieter Blu hat zwar f\u00fcr die in den USA vertriebenen Billig-Handys ein Firmware-Update entwickeln lassen. Aber offenbar werden eine Menge Ger\u00e4te weiterhin mit dem kompromittierten ROM betrieben. Die Untersuchung bezieht sich zwar auf die USA, aber der zweite Fall binnen einer Woche zeigt, dass in China entweder bewusst oder zumindest recht sorglos mit Software-Entwicklung umgegangen wird. Den Schluss, den man ziehen muss, ist eindeutig: Finger weg von China-Produkten, falls nicht ein renommierter Hersteller wie Lenovo, Huawei, Xiaomi dahinter steht. Die billigen China-Kracher sind ein Sicherheitsrisiko par excellence. (via<\/a>)<\/p>\n Nachtrag: heise.de hat zwischenzeitlich einen Artikel <\/a>zum Thema ver\u00f6ffentlicht, in dem ihr ggf. weitere Erl\u00e4uterungen findet.<\/p>\n \u00c4hnliche Artikel<\/strong> In \"Billig-\" China-Handys ist mal eine zweite, gravierende, Schwachstelle entdeckt worden. \u00dcber die Backdoor bzw. das Rootkit k\u00f6nnen Android-Apps mit Root-Rechten installiert werden. Betroffen k\u00f6nnten 3 Millionen Android-Ger\u00e4te sein.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1376],"tags":[4308,3347,5213,4328,4345],"class_list":["post-184003","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-smartphone","tag-android","tag-backdoor","tag-rootkit","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=184003"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/184003\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=184003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=184003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=184003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Erst vorige Woche hatte ich im Blog-Beitrag Backdoor in China-Phones \"telefoniert nach Hause\"<\/a> \u00fcber eine Backdoor in China-Smartphones, die f\u00fcr den US-Anbieter BLU gefertigt wurden, berichtet. Nun hat ein Sicherheitsunternehmen die n\u00e4chste Schwachstelle in China-Handys aufgedeckt. Diese k\u00f6nnte 3 Millionen Android-Ger\u00e4te betreffen, viele davon wurden vom US-Unternehmen BLU an die Amis verkauft.<\/p>\n
![](\"http:\/\/blog.anubisnetworks.com\/hs-fs\/hubfs\/Distribution%20of%20Observed%20Devices%20by%20Manufacturer.png?t=1479469670031&width=450&name=Distribution%20of%20Observed%20Devices%20by%20Manufacturer.png\")
\n(Betroffene Ger\u00e4te, Quelle Anubis Networks)<\/p>\n
\nAndroid-Backdoor in China-Phones<\/a>
\nSicherheitsl\u00fccke in Android-Ger\u00e4ten mit MediaTek-CPU<\/a>
\nBackdoor in China-Phones \"telefoniert nach Hause\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"