Amazon: drei Sicherheitslücken in Fire Phone gestopft

Amazon hat drei Schwachstellen im Betriebssystem seines Smartphones gepatcht, von denen zwei theoretisch eine Überwachung der Kommunikation durch Man-in-the Middle-Angriffe ermöglichten. Gemeldet wurden die Fehler im Februar, gepatcht im Mai und jetzt von MWR Labs veröffentlicht.

Amazon reagierte mit dem Patch auf eine Warnung von MWR Labs zu Fire OS, die es am 19. Januar erhielt und die Ende vergangener Woche öffentlich gemacht wurde.

Amazon Fire Phone (Bild: Amazon)

Amazon Fire Phone (Bild: Amazon)

Laut Amazon erfolgten die Bugfixes ohne separate Ankündigung mit dem Update auf Fire OS 4.6.1 im Mai. Der Konzern benötigte somit rund vier Monate, um die kritischen Fehler zu beseitigen.

Die Pflege des Fire Phone ist für ihn freilich eine undankbare Aufgabe, hatte sich das Gerät doch weit unter Erwartungen verkauft.

Die erste Schwachstelle im Paket CertInstaller ermöglicht eine stillschweigende Installation von Zertifikaten, ohne dass der Anwender zustimmen muss. Somit könnte sich ein Angreifer als Man-in-the-Middle in vermeintlich sichere Kommunikation einklinken und sie mithören. Das Advisory (PDF) warnt Nutzer vor allem vor dem Fall einer Information, ein neues Zertifikat sei installiert worden. Solche Zertifikate sollten sofort gelöscht und alle zuletzt installierten Anwendungen wegen Malwareverdachts entfernt werden. Diese Installationsmeldung ist der einzige Hinweis auf die Infektion, den ein Anwender von selbst zu sehen bekommt.

Die zweite Lücke (PDF) könnte ebenfalls genutzt werden, um einen Man-in-the-Middle-Angriff auszuführen. Sie besteht in einer mangelhaften Überprüfung der eindeutigen Kennung eines Geräts (UID).

Sicherheitslücke Nummer 3 dritte und letzte Schwachstelle besteht in einer nicht ausreichend abgesicherten USB-Debugging-Möglichkeit. So gab es keine Abfrage, ob Fire-Phone-Nutzer einen neuen USB-Host akzeptieren wollten, und selbst bei gesperrten Geräten war ein Zugriff auf die Android Debug Bridge möglich. Somit konnte ein Angreifer mit Zugriff aufs gesperrte Gerät Anwendungen installieren oder deinstallieren oder unter Umgehung der Gerätesperre Daten stehlen.

Bei Fire OS handelt es sich um ein Android-Derivat von Amazon mit eigenen Erweiterungen, etwa dem Browser Silk. Die aktuelle Version Sangria basiert auf Android 4.4 KitKat. Es kommt auch auf Tablets der Kindle-Fire-Reihe zum Einsatz, diese werden in den Sicherheitsmeldungen von MWR Labs jedoch nicht als anfällig erwähnt.

Das im Juni 2014 vorgestellte Fire Phone hat die Verkaufserwartungen nicht erfüllt und Amazon zu einer hohen Abschreibung von 170 Millionen Dollar gezwungen. Diese Belastung führt der Onlinehändler in seiner Quartalsbilanz für das dritte Quartal 2014 vorrangig zurück auf „die Inventarbewertung des Fire Phone und Kostenverpflichtungen gegenüber den Lieferanten“. An Lager waren zu diesem Zeitpunkt noch Smartphones im Wert von rund 83 Millionen Dollar, wie Finanzchef Tom Szkutak berichtete. Das Fire Phone bezeichnete er als „ein gutes Gerät in einem stark umkämpften Markt“.

Im vergangenen Dezember erklärt Amazon-CEO Jeff Bezos offenbar ebenfalls mit Bezug aufs Fire Phone, er werde weiter Risiken eingehen. „Einige wenige große Erfolge kompensieren Dutzende und Aberdutzende Dinge, die nicht funktioniert haben.“ Manchmal benötige man „mehrere Anläufe“, um etwas richtig hinzubekommen. „Was das Smartphone betrifft, bitte ich Sie, noch etwas abzuwarten.“

Inzwischen ist das Fire Phone nicht mehr verfügbar. Einen Nachfolger hat Amazon bisher ebenfalls nicht präsentiert.

[mit Material von Florian Kalenda, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Amazon: drei Sicherheitslücken in Fire Phone gestopft

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *