GoogleWatchBlog

AT-Befehlssätze: Hunderte Android-Smartphones lassen sich mit Uralt-Befehlen steuern (Demovideo)

» Web-Version «

Rein statistisch gesehen gibt es keine perfekte Software und mit genügend Willen und Zeit lassen sich nahezu alle Systeme knacken (es gibt Ausnahmen). Mit der Verbreitung steigt natürlich auch die Wahrscheinlichkeit, dass eine Sicherheitslücke entdeckt und in der Folge auch ausgenutzt wird. Jetzt haben Sicherheitsforscher herausgefunden, dass sich Hunderte Smartphones durch eine Technologie angreifen lassen, die bereits viele Jahre auf dem Buckel hat.


Smartphones setzen eigentlich auf hochmoderne Technologien und werden von Google und den Herstellern bei jeder Neuerscheinung auf den aktuellen Stand gebracht. Doch im Inneren schlummern bis heute Technologien und Schnittstellen, auf denen im Laufe der Jahre immer weiter aufgebaut wurde und dessen Existenz gar keine Rolle mehr spielt. Und so kommt es nun, dass Befehlssätze aus den 80er Jahren die Smartphones angreifbar machen.

smartphones

Sicherheitsforscher haben nun herausgefunden, dass die alten AT-Befehlssätze noch heute in den Smartphones enthalten sind und sich einfach per angeschlossenem USB-Gerät ausführen lassen. Damit wird es möglich, das Smartphone zu entsperren, auf Daten zuzugreifen und sogar die vollständige Kontrolle über das Gerät zu übernehmen, wie in folgendem Video anhand eine LG G4 demonstriert wird. Wie man sieht, lassen sich dort sehr leicht mit simplen Befehlen Taps auf dem Display simulieren.

AT Command Injection on the LG G4 Smartphone

Natürlich muss ein Angreifer dafür physischen Zugriff haben, womit das Angriffsszenario schon einmal stark sinkt, aber nun versuchen die Forscher herauszufinden, ob sich diese Befehle vielleicht auch per Bluetooth oder WLAN in das Gerät bringen und dort ausführen lassen – womit das Problem natürlich ungleich größer wäre. Als Sicherheitslücke muss man es dennoch bezeichnen, denn der Zugriff sollte auf diese Weise nicht mehr möglich sein – in den meisten Fällen muss nicht einmal das USB Debugging aktiviert sein.

Eine Liste der betroffenen Geräte findet ihr auf dieser Webseite. Betroffen sind Geräte von 11 Herstellern, darunter auch Google, Samsung, Huawei oder LG.

Siehe auch
» Sicherheitsforscher: Viele Android-Smartphones werden mit Sicherheitslücken ausgeliefert
» Epic Fail: Google entdeckt schwere Sicherheitslücke im Fortnite Installer für Android und macht sie öffentlich

[Bleeping Computer]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren