Gigaset ignoriert schwere Android-Sicherheitslücke! (1)

Gepostet von: | Gepostet am: Freitag, 28. Februar 2020

Bereits an anderer Stelle in diesem Blog (Gigaset GS370plus) schrieb ich über Gigasets Smartphone GS370plus und die massiven Android-Probleme, legte jedoch zusätzlich auch Wert auf eine Betrachtung der Sicherheits- und Updatepolitik dieses Herstellers.

Eine neue Facette ist hinzugekommen, die jemand, der darüber nachdenkt, ein Gigaset-Smartphone zu erwerben, kennen sollte.

Am 07.02.2020 veröffentlichte heise.de einen Artikel mit dem Titel „Android: Verzicht auf Bluetooth kann vor Angriffen auf aktuelle Lücke schützen“ (=> zum Artikel ).

Nach Kennisnahme dieses Artikels sandte ich am 12.02.2020 umgehend eine Mail an Gigaset mit folgendem Inhalt:

Sehr geehrte Damen und Herren,

bei heise.de las ich heute von einer Sicherheitslücke in Android-Versionen 8 bis 9 (Zitat):

„Grundsätzlich via CVE-2020-0022 angreifbar sind Android-Geräte mit der Betriebssystem-Version ab 8.0 bis einschließlich 9.0, deren Hersteller (noch) keine (auf Googles aktuellen Patches basierenden) Sicherheitsupdates verteilt haben. Auf ihnen eröffnet ein erfolgreicher Angriff Möglichkeiten der RCE und Datenklau. Auf Android-10-Geräten lässt sich über die Sicherheitslücke lediglich der Bluetooth-Dienst zum Absturz bringen.

Eine Nutzerinteraktion ist für den Angriff nicht notwendig; laut einer Beschreibung von CVE-2020-0022 durch die Firma ERNW muss einem Angreifer in Reichweite lediglich die Bluetooth-MAC-Adresse des Geräts bekannt sein, welche sich häufig von der WiFi-MAC-Adresse ableiten lasse.“
Bitte teilen Sie mir mit, wann Sie die notwendigen aktuellen Sicherheitspatches für meine GS370plus ausliefern werden.

Vielen Dank.

Mit freundlichem Gruß

Bis heute (Stand 28.02.2020) hat Gigaset nicht geantwortet.

Mein Fazit:

Falls Ihnen Sicherheit wichtig ist und Sie Ihre Informationen geschützt wissen wollen, kann ich Ihnen von Gigaset nur dringend abraten – es sei denn, Sie bekommen die schriftliche und zur Not einklagbare Bestätigung, dass es monatliche Sicherheitsupdates für Ihr Gerät gibt, und das auch für einen angemessenen Zeitraum, den ich auf mindestens zwei Jahre festsetzen möchte.

Nachtrag am Rande: Die im o.g. Blogbeitrag beschriebenen heftigen Bluetooth-Probleme sind bei einem zweiten GS370plus direkt nach dem Upgrade auf die Android-Version 8.1 ebenfalls aufgetreten und bis heute aktiv. Gigaset schweigt.





Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

code