Viel Zeit und Geld hat Google in den letzten Jahren in die Verbesserung der Sicherheit seines mobilen Betriebssystems Android gesteckt. Freilich hat man damit nur einen Teil der auf Android-Smartphones ausgelieferten Software unter Kontrolle, nehmen doch viele Hersteller umfangreiche Modifikationen vor. Dass diese durchaus unerfreuliche Konsequenzen haben kann, zeigt nun eine aktuelle Studie.

Die Sicherheitsforscher von eScan haben in Xiaomis MIUI OS zum Teil haarsträubende Fehler gefunden, wie sie betonen. Xiaomi hat mit seinen Änderungen offenbar einige der grundlegenden Sicherheitsmechanismen von Android unterwandert, wie AndroidPolice berichtet.

Kopieren

Ein Paradebeispiel hierfür ist die Mi-Mover App. An sich ein nützliches Tool, um bestehende Daten beim Wechsel auf ein neues Smartphone mitzunehmen, schießt Xiaomi hier nämlich weit über das Ziel hinaus. Werden dabei doch sogar Bezahlinformationen und andere besonders sensible Daten übertragen. Damit könnte jeder, der Zugriff auf ein betreffendes Smartphone hat, unbemerkt die betreffenden Daten kopieren und dann einfach über die jeweils genutzten Accounts einkaufen gehen oder diese für andere Zwecke nutzen. An sich verhindert Android aus Sicherheitsgründen solche Dinge, Xiaomi hat diese Sperren aber gezielt ausgehebelt.

Mindestens so problematisch ist eine zweite Entscheidung: An sich ist es unter Android nur nach Eingabe des Passworts möglich eine Device-Manager-App zu entfernen. Bei Xiaomi hat man diese Hürde hingegen entfernt. Die Konsequenz: Stiehlt jemand ein Smartphone während das Gerät gerade entsperrt war, kann er einfach jegliche Anti-Diebstahls-Software entfernen.

In ihrer Studie weisen die Forscher aber noch auf andere grundlegende Defizite hin: So sei die Android-for-Work-Implementation so schlecht, dass sie zum Teil den Zweck eines solchen eigenen Bereichs für Arbeits-Apps generell unterwandere.

Widerspruch

Bei Xiaomi reagiert man auf die Veröffentlichung vor allem verärgert. Alle diese beschriebenen Szenarien würden einen physischen Zugriff auf das Geräte verlangen, und seien somit von begrenzter Relevanz. Wichtig sei es allerdings, dass die User ihre Smartphones durch Passwort, PIN oder Fingerabdruck sperren. Zu möglichen Korrekturen an der eigenen Software äußert sich das Unternehmen hingegen nicht. (red, 11.8.2017)