Nothing Phone 3a im Hack-Test: So sicher ist das günstige Smartphone wirklich

Das Forschungsteam von Cybernews hat das Nothing Phone 3a am 11. Juni 2025 erworben und zunächst in der Standardkonfiguration getestet. Zum Testzeitpunkt lief das Gerät mit Android 15; eine neuere Version des Betriebssystems soll in Kürze verfügbar sein.

Das Nothing Phone 3a zählt zu den preiswertesten Smartphones auf dem Markt – doch wie sicher ist es wirklich? Die Analyse der Forscher zeigte einige Schwachstellen, die für Denial-of-Service-Angriffe ausgenutzt werden könnten, sowie die bekannten Datenschutzprobleme, die bei allen Android-Geräten bestehen.

Wichtige Ergebnisse im Überblick:

• Die physische Sicherheit des Nothing Phone 3a ist nahezu einwandfrei: USB-Verbindungen werden beispielsweise blockiert, sobald das Gerät gesperrt ist. Einige Funktionen bleiben jedoch weiterhin zugänglich.

• Das Smartphone übermittelte regelmäßig Telemetriedaten an Server von Google, Nothing und Qualcomm in der EU und den USA.

• Die gefundenen Schwachstellen könnten Angreifern ermöglichen, Denial-of-Service-Angriffe durchzuführen und APIs von Drittanbietern zu missbrauchen.

Physische Untersuchung: Es gibt nicht viele Möglichkeiten, sich Zugang zu verschaffen

Viele physische Angreifer, darunter auch Behörden, versuchen zunächst, den USB-Anschluss zu nutzen, um das Gerät zu entsperren und Zugriff auf seine Daten zu erhalten.

Die gute Nachricht ist, dass Nothing Phone die Datensignalisierung über den USB-Anschluss im gesperrten Zustand deaktiviert – er ist nur für den Ladevorgang freigeschaltet. Google hat diese Funktion zur Sperrung des USB-Anschlusses mit Android 16 eingeführt. Das bedeutet, dass externe physische Angreifer das Gerät nicht mit verschiedenen bestehenden oder Zero-Day-Exploits entsperren können.

Als Nächstes testeten die Forscher von Cybernews verschiedene Funktionen, die bei gesperrtem Gerät verfügbar sind, und stellten einige besorgniserregende Mängel fest, die bei allen Android-Geräten vorhanden sind: Die im gesperrten Zustand des Telefons verfügbaren Schnelleinstellungen können in vielen Fällen sehr empfindlich sein.

Physisch anwesende Angreifer können die mobile Hotspot-Funktion aktivieren und so den WiFi-Chipsatz potenziell Zero-Day-Exploits aussetzen. Während sie aktiv ist, kann die Funktion auch dazu verwendet werden, den Standort des Benutzers zu verfolgen – aktive WiFi-Hotspots werden von öffentlichen Standortverfolgungssystemen kartiert.

Ohne das Telefon zu entsperren, können externe Angreifer den Nicht-stören-Modus aktivieren oder deaktivieren, auf die Taschenrechner-App und deren Verlauf zugreifen, Benachrichtigungen löschen, Fotos machen usw.

Grafik Quelle: Cybernews

„Personen mit fragwürdigen Absichten können Ihnen definitiv den Tag verderben, wenn sie Ihr Gerät in die Hände bekommen, während Sie nicht hinschauen“, sagte Aras Nazarovas, Forscher für Informationssicherheit bei Cybernews.

„Stellen Sie sich Folgendes vor: Sie erwarten einen wichtigen Anruf, eine Benachrichtigung oder einen Alarm, aber jemand schaltet Ihr Telefon stumm und löscht die Benachrichtigungen, während Sie Kaffee kochen.“

Benutzer können dies ganz einfach verhindern, indem sie diese Einstellungen vollständig aus dem Schnellkonfigurationsmenü entfernen – sie werden auch aus dem gesperrten Zustand von Android 15- und 16-Geräten entfernt.

Datenübertragungen: Kein Schalter kann sie vollständig deaktivieren

„Unsere Forscher analysierten das Nothing Phone 3a auf potenzielle Sicherheits- und Datenschutzprobleme, indem sie seine Kommunikation mit externen Servern mithilfe eines „Man-in-the-Middle“-Ansatzes überwachten, um den Datenverkehr abzufangen und zu entschlüsseln. Dafür musste das Gerät gerootet werden, was seine Standardfunktionen und die Integrität der Dienste verändern kann.“ – Cybernews.

Sowohl mit Standardoptionen als auch bei deaktivierter Datenerfassung sendete das Smartphone regelmäßig umfangreiche Telemetriedaten an Google und bestimmte Metadaten an Nothing. Zudem verband sich das Gerät mit dem Mobile Device Management (MDM)-Server von Qualcomm, übermittelte den Seriencode des Chipsatzes, die Betriebssystemversion und weitere Telemetriedaten und empfing Netzwerkkonfigurationen für den Basisband-Chipsatz.

Bereits zuvor wurde gezeigt, dass von Google zertifizierte Android-Geräte häufig private Nutzerdaten übertragen. Dazu gehören etwa Listen installierter Apps, Telefonnummern, E-Mail-Adressen und andere Identifikatoren. Technologiekonzerne begründen diese Übertragungen mit dem Bedarf an legitimen Diensten wie Software-Updates, On-Demand-Funktionen oder personalisierten Angeboten.

„Die Architektur von Google Mobile Services lässt den Nutzern wenig Wahl oder Kontrolle über Funktionen, die Google für wesentlich hält. Zukünftige Updates können sogar ohne Wissen oder Zutun des Nutzers auf das Gerät übertragen werden“, erklärt Nazarovas.

„Das ist an sich nicht unsicher. Google arbeitet kontinuierlich daran, seine Plattformen so sicher wie möglich zu machen. Es erfordert jedoch ein hohes Maß an Vertrauen der Nutzer in die Plattform.“

Standardmäßig ist das Nothing Phone 3a in das Find Hub-Netzwerk von Google eingebunden – eine Android-Alternative zu Apples „Find My“-Netzwerk, die es ermöglicht, verlorene Geräte über Bluetooth zu lokalisieren. Dadurch wird der Standort des Nutzers übertragen, was für den Dienst jedoch notwendig ist. Die einzige Möglichkeit, diesen Dienst abzuschalten, besteht darin, die Find Hub-Anwendung zu suchen und zu löschen – Root-Zugriff ist dafür nicht nötig.

„Diese Funktion kann sowohl Vor- als auch Nachteile für die Sicherheit haben. Einerseits sendet sie kontinuierlich den Standort an Googles Server und identifiziert das Gerät gegenüber anderen Android-Handys. Andererseits können Nutzer so ihr Gerät wiederfinden, falls es verloren geht oder gestohlen wird“, so Nazarovas.

Was genau das Nothing Phone 3a an die Server seines Herstellers übermittelt, ist nicht bekannt. Das Unternehmen nutzt eine zusätzliche Verschlüsselung, die den Inhalt der Netzwerkpakete vor MITM-Angriffen schützt. Die Cybernews-Forscher gehen davon aus, dass es sich um Telemetriedaten handeln könnte, die möglicherweise persönliche Informationen enthalten.

Grafik Quelle: Cybernews

Nothing sendet auch Gerätelogs an seinen AWS (Amazon Web Services) Bucket-Speicher, wenn Over-the-Air-Updates (OTA) beginnen. Die Daten in diesen Logs sind ebenfalls unlesbar. Es wird jedoch eine andere Methode verwendet, da sie in passwortgeschützte ZIP-Dateien komprimiert werden.

Grafik Quelle: Cybernews

„Selbst wenn der Nutzer die zusätzliche Datenerfassung deaktiviert hatte, sendete das Nothing Phone weiterhin umfangreiche Telemetrie- und Gerätelogdateien an Google, Nothing und Qualcomm. Die Deaktivierung hatte im Vergleich zu den Standardeinstellungen für die Datenerfassung nur minimale Auswirkungen auf die Anzahl der gesendeten Pakete“, bemerkt Nazarovas.

„Die Server befanden sich alle in der EU oder den USA.“

• Bewertung: Für den allgemeinen Gebrauch geeignet. Personen mit starken Bedenken hinsichtlich des Datenschutzes könnten die ständigen Datenübertragungen als ungeeignet empfinden.

Identifizierte Schwachstellen

Bei der Untersuchung auf Sicherheitslücken stellten die Cybernews-Forscher fest, dass die Verbindung des Nothing Phone 3a zum MDM-Server von Qualcomm eine schwache Verschlüsselung nutzt.

Das Gerät authentifiziert sich mit MD5-Hashes, die bekannte Sicherheitslücken aufweisen und eigentlich nicht mehr verwendet werden sollten.

„MD5 ist anfällig für Kollisionsangriffe. Die Hashes von Qualcomm enthielten jedoch Nonces – einmalig verwendete, eindeutige Elemente –, wodurch sie etwas sicherer sind als gewöhnliche MD5-Hashes und es Angreifern erschwert wird, Identitätsdiebstahl zu begehen“, erklärt Nazarovas.

Dennoch könnten Angreifer diese Schwachstelle ausnutzen, um sich als andere Geräte auszugeben. Die Auswirkungen würden sich allerdings auf falsche Konfigurationen beschränken, die an die falschen Geräte gesendet werden, was zu einer verringerten Netzwerkleistung oder Verbindungsabbrüchen bis hin zu Denial-of-Service führen könnte.

Nutzer können diese Sicherheitslücke nicht selbst beheben. Die Cybernews-Forscher empfehlen Qualcomm, auf einen sicheren Hash-Algorithmus wie SHA-256, SHA-512, bcrypt, PBKDF2 oder Argon2 umzusteigen.

Grafik Quelle: Cybernews

Eine weitere Schwachstelle betrifft die Implementierung der Wetter-App. Cybernews entdeckte einen fest codierten API-Schlüssel mit derselben Struktur wie die API-Schlüssel von AccuWeather.
Die Wetter-App von Nothing sendete ihren AccuWeather-API-Schlüssel vom Client (dem Smartphone, auf dem die App läuft) an den Proxy-Server von Nothing. Für alle Instanzen der App wird derselbe Authentifizierungs- und Lizenzschlüssel verwendet.

Das bedeutet, dass Angreifer, die die Schlüssel kennen, den Dienst missbrauchen können, indem sie unbegrenzt Anfragen an die API von AccuWeather senden, die API-Quote von Nothing ausschöpfen oder die Kosten für die Nutzung des Dienstes erhöhen.

Grafik Quelle: Cybernews

„Böswillige Akteure könnten den API-Schlüssel auch einfach zu ihrem eigenen Vorteil nutzen, ohne für den API-Zugang zu bezahlen“, sagte Nazarovas.

Cybernews hat Nothing über das Problem informiert, jedoch keine Antwort erhalten. Das Unternehmen sollte den API-Schlüssel aus seiner Client-Anwendung entfernen, um eine Offenlegung und einen Missbrauch zu verhindern.

„In den Nutzungsbedingungen von AccuWeather wird betont, dass API-Schlüssel vertraulich zu behandeln sind. Sie werden für die Messung und Abrechnung verwendet, was bedeutet, dass ein böswilliger Akteur mit dem API-Schlüssel von Nothing Millionen von Anfragen an die API senden kann, um potenziellen Schaden zu verursachen und das Kontingent zu erschöpfen, was sich möglicherweise auf die Nutzer auswirken kann“, sagte Nazarovas.

Insgesamt verfügt das Nothing Phone über eine sehr begrenzte Anzahl vorinstallierter Apps, was lobenswert ist, da es die potenzielle Angriffsfläche verringert. Eine der wenigen vorinstallierten Apps, „Essential Space“, ist eine KI-fähige Notiz-App für Audioaufnahmen, Bilder und KI-Transkriptionen.

„Standardmäßig speicherte diese App Notizen nur auf dem Gerät und sendete keine Daten über das Internet“, bemerkte Nazarovas.

Die Forscher entdeckten keine bekannten oder offensichtlichen kritischen oder schwerwiegenden Mängel, die Nutzer in Gefahr bringen könnten.

Methodik

Für die Analyse die Forscher einen „Man-in-the-Middle“-Ansatz, um den Datenverkehr zu entschlüsseln. Dabei wurde die Man-in-the-Middle-Zertifizierungsstelle in die Liste der vertrauenswürdigen Systemzertifikate (Root Store) aufgenommen, wodurch SSL-Pinning in den meisten Fällen umgangen werden konnte. So war es möglich, SSL-verschlüsselten Datenverkehr abzufangen und zu lesen, der unter normalen Umständen unzugänglich wäre.

Es ist zu beachten, dass diese Untersuchung nicht vollständig ist. Zwar wurden einige häufige Schwachstellen überprüft, andere potenzielle Sicherheitslücken könnten jedoch bestehen, die über die hier besprochenen hinausgehen.

Nothing ist ein 2020 gegründetes Unterhaltungselektronikunternehmen mit Sitz in London. Aufgrund seines einzigartigen Gerätdesigns und der früheren Rolle seines CEO Carl Pei als Direktor bei OnePlus Global gewann das Unternehmen schnell an Aufmerksamkeit. Das Nothing Phone 3a ist das vierte Smartphone-Modell von Nothing.

In der Vergangenheit war das Unternehmen bereits in öffentliche Cybersicherheitsvorfälle verwickelt: Im Dezember 2022 betraf eine Schwachstelle die E-Mail-Adressen von Community-Mitgliedern, und 2023 wurde die Messaging-App Nothing Chats nach der Entdeckung schwerwiegender Sicherheitslücken aus dem Play Store entfernt.

Auch interessant für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky