Sicherheitslücken auf 6 Jahre altem Sony Xperia

[Esteba]

Ich habe aktuell noch ein Sony Xperia XZ2 Compact in Benutzung, das ich 2018 gekauft habe. Ich benutze Elektronik grundsätzlich immer sehr lange, aus Nachhaltigkeits- und Sparsamkeitsgründen (und in dem Fall auch in Ermangelung eines überzeugenden Nachfolgemodells).

Allerdings habe ich dabei das Thema Sicherheit die letzten Jahre ein bisschen verdrängt. Zugegeben war es ein bisschen naiv von mir, für so einen langen Zeitraum von Updates auszugehen. (Ich würde eben schon gerne in einer Welt leben, in der man ein Gerät, für das man über 500 € ausgegeben hat, länger als 3 Jahre benutzen kann, aber das nur am Rande.)

Jedenfalls habe ich kürzlich nachgesehen und festgestellt, dass ich noch Android 10 auf dem Handy habe und das letzte Sicherheitsupdate vom 01.07.2020 ist. Autsch.

Ich habe nun ein Nachfolgegerät (iPhone) und möchte das Xperia in Rente schicken. Übertragen werden müssen natürlich einige Daten wie Fotos und Notizen, Messenger-Accounts (Signal, Telegram), die SIM-Karte und auch einige 2FA-Verbindungen.
Bisher gibt es keine Anzeichen darauf, dass mein Handy kompromittiert wurde. Die Akkulaufzeit ist nach 6 Jahren naturgemäß nicht mehr gut, ansonsten habe ich noch keine verdächtigen Aktivitäten feststellen können. Trotzdem ist die Gefahr, dass ich nach mehreren Jahren Nutzung bei vorhandenen Sicherheitslücken Schadsoftware drauf habe, natürlich recht hoch.

Gibt es eine Möglichkeit, herauszufinden, ob mein Handy gehackt wurde? Gibt es vertrauenswürdige Virenscanner für Android? Und worauf muss ich bei der Datenmigration achten? Muss ich mir Sorgen machen, Schadsoftware auf meinen Windows-PC zu bekommen, wenn ich das Handy über USB anschließe?

 

[siggi%%44]

Kannst du problemlos übertragen. Wenn Daten und Dateien kompromittiert werden, dann durch andere Apps und nicht durch Lücken. Sicherheitslücken dienen dazu, dein Gerät (Hardware) zu übernehmen.

 

[s1ave77]

Der Plattformwechsel sollte das Ganze zusätzlich 'entschärfen' .

 

[0x8100]

Zugegeben war es ein bisschen naiv von mir, für so einen langen Zeitraum von Updates auszugehen.

https://wiki.lineageos.org/devices/xz2c/ - unterstützt und läuft mit android 14

 

[s1ave77]

Gibt es vertrauenswürdige Virenscanner für Android?

Ergibt bei Android 9+ auf Grund der Sicherheitsarchitektur keinen Sinn, die Apps haben ohne Root zu wenig Rechte um effektiv zu sein.

 

[Esteba]

https://wiki.lineageos.org/devices/xz2c/ - unterstützt und läuft mit android 14

Ja, ich hatte vor ein paar Jahren schon mal überlegt, mir Lineage draufzupacken, aber habe vor dem großen zeitlichen Aufwand zurückgeschreckt, über den Leute mir berichtet haben.

Könnte nicht eventuell in Daten, die ich aus dem Internet bezogen oder per E-Mail / Messenger erhalten habe, Schadsoftware stecken? Zum Beispiel über Bilddateien hab ich sowas schon öfter gehört. Wobei da normalerweise ja gleich der Windows Defender anschlagen sollte, wenn ich im Explorer darauf zugreife, oder?

Ergibt bei Android 9+ auf Grund der Sicherheitsarchitektur keinen Sinn, die Apps haben ohne Root zu wenig Rechte um effektiv zu sein.

Ich habe bei einer kurzen Recherche einige Artikel über Schwachstellen in den Android-Versionen 10-14 gefunden. Wenn ich die richtig verstanden habe, konnte ein Angreifer durch diese Schwachstellen auch ohne Root-Rechte die Kontrolle über das Gerät übernehmen...

 

[s1ave77]

Gängige Exploits erfordern zumeist die Mitwirkung des Users (kompromittierte Apps/Links).

In dem Zusammenhang gibt es keine 100% Sicherheit. Daher sind Backups (am besten mehrfach und physisch nicht verbunden) eine gute Stategie. Auch im Zusammenhang mit dem Verlust oder der 'Zerstörung' des Gerätes erlauben diese eine Wiederherstellung des 'Digitalen Lebens™' auf einem bereinigten oder neuen Gerät.

 

[siggi%%44]

Ich habe bei einer kurzen Recherche einige Artikel über Schwachstellen in den Android-Versionen 10-14 gefunden.

Könntest du die bitte verlinken?

Hier ist die offizielle Übersicht aller Patches:
https://source.android.com/docs/security/bulletin/asb-overview

Hier der Text, den niemand wahrnimmt und der von keinen Autoren im Internet berücksichtigt wird, wenn über die Lücken informiert wird. Er steht bei jedem Patch als Info vorweg:

The severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

Refer to the Android and Google Play Protect mitigations section for details on the Android security platform protections and Google Play Protect, which improve the security of the Android platform.

Frei übersetzt: Die Einstufung der Gefährdung beruht auf der Annahme, dass ALLE Sicherheitsmechanismen (mitigations) außer Kraft gesetzt und/oder ausgehebelt wurden. Erst dann, könnte die Lücke ausgenutzt werden. Diese Mechanismen sind im Kernel integriert und werden zusätzlich auch durch das Google Framework bereitgestellt und sind sehr vielseitig.

 

[Esteba]

Gängige Exploits erfordern zumeist die Mitwirkung des Users (kompromittierte Apps/Links).

In dem Zusammenhang gibt es keine 100% Sicherheit. Daher sind Backups (am besten mehrfach und physisch nicht verbunden) eine gute Stategie. Auch im Zusammenhang mit dem Verlust oder der 'Zerstörung' des Gerätes erlauben diese eine Wiederherstellung des 'Digitalen Lebens™' auf einem bereinigten oder neuen Gerät.

Backups sind reichlich vorhanden, aber sie helfen ja nicht in dem Szenario, in dem ich gar nicht weiß, dass mein Gerät kompromittiert wurde.

Frei übersetzt: Die Einstufung der Gefährdung beruht auf der Annahme, dass ALLE Sicherheitsmechanismen (mitigations) außer Kraft gesetzt und/oder ausgehebelt wurden. Erst dann, könnte die Lücke ausgenutzt werden. Diese Mechanismen sind im Kernel integriert und werden zusätzlich auch durch das Google Framework bereitgestellt und sind sehr vielseitig.

Dann ist die Gefahr also doch nicht so groß, wie ich befürchtet habe?

Ich bin ja auch ein IT-affiner Mensch, habe deswegen eine gesunde Vorsicht was App-Berechtigungen etc. betrifft und würde vermutlich auch dubiose Aktivitäten in den meisten Fällen bemerken, weswegen ich jetzt nicht davon ausgegangen bin, dass ich gehackt wurde. Aber ich war beim Browsen im Internet auch nicht übervorsichtig, weil ich irgendwie davon ausgegangen bin, dass sich bei einem geschlossenen System wie Android die Angriffsmöglichkeiten in Grenzen halten...

Die Artikel, die ich erwähnt habe, sind halt so die ersten, die man findet, wenn man nach "Android Sicherheitslücke" sucht. Die meisten beziehen sich auf Android 11-14, wo ich jetzt auch nicht weiß, was das dann für Android 10 bedeutet (nicht betroffen, oder noch schlimmer?).

https://www.heise.de/news/Patchday-...ecke-auf-Systemebene-geschlossen-9619910.html
https://www.chip.de/news/Android-Nu...eitsluecken-bedrohen-Ihr-Handy_184941978.html

 

[siggi%%44]

Also heise.de und chip.de sind fachlich absolut nicht mehr das, was sie früher mal waren. Diese Portale dramatisieren alles, nur um Klicks zu bekommen.

Allgemein sind Sicherheitslücken selbstverständlich ein Risiko. Aber es hält sich doch sehr in Grenzen. Im Prinizip ist es bei Android ganz einfach: Installiere keinen Blödsinn, dann passiert auch nichts.

 

[Esteba]

Okay, danke, dann bin ich schon beruhigt!

Wie verhält es sich denn nun mit Windows? Android hat ja eine andere Architektur als Windows, deswegen wird vermutlich der wenigste Schadcode auf beide Plattformen ausgerichtet sein. Aber kann ich im Fall der Fälle auf den Windows Defender vertrauen, oder doch lieber nochmal den Handy-Speicher genauer unter die Lupe nehmen?

 

[siggi%%44]

Vertraue dem Windows Defender.

 

[Esteba]

Dann vielen Dank euch allen!