Adam Donenfeld von Check Point Software Technologies demonstrierte im Rahmen der IT-Security-Konferenz Defcon, wie sich die gemeinschaftlich "QuadRooter" getauften Sicherheitslücken ausnutzen lassen.
Laden Android-Nutzer entsprechend präparierte, unverdächtig erscheinende Apps aus dem Google Play Store herunter, sind ihre Geräte umgehend gefährdet. Donenfelds Angaben zufolge wurden die Schwachstellen bereits zwischen Februar an April an Qualcomm gemeldet - der Chipsatzhersteller veröffentlichte daraufhin mehrere als kritisch eingestufte Bugfixes. "Quadrooter" heißen die vier Lücken deshalb, weil sie Angreifer bei Ausnutzung mit Root-Zugriffsrechten ausstatten können - sobald es dazu kommt, lässt sich das Linux-basierte Android-System komplett fernsteuern. Namentlich handelt es sich um die Sicherheitslücken CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 und CVE-2016-5340 - alle befinden sich in Treiberdateien, die Qualcomm den Geräteherstellern zur Verfügung stellt.
In der Praxis seien die "QuadRooter" getauften Sicherheitslücken bislang nicht ausgenutzt worden, erklärte Donenfeld. Zu den betroffenen Geräten gehören die neuen Samsung-Spitzenmodelle Galaxy S7 and S7 Edge, die Google-Geräte Nexus 5X, 6 und 6P, der BlackBerry Priv, die HTC-Modelle One, M9 und HTC 10, das Sony Xperia Z Ultra, das Moto X von Motorola sowie die LG-Geräte G4, G5, und V10.
Foto: Twin Design / Shutterstock.com
Android 4 und 5 stärker gefährdet
Qualcomm gab die Bugfixes zwischen April und Juli an die Hersteller aus. Diese kommen mit der zeitigen Weitergabe an die Android-Nutzer aber nicht nach - deshalb sind noch längst nicht alle Devices ausreichend geschützt. Da das Android-Ökosystem so fragmentiert sei, liefen auf vielen Geräten noch ältere Android-Versionen, für die keine Firmware-Updates mehr ausgegeben würden - oder die Bugfixes erst Monate nach Release erhielten, warnte Donenfeld.
So sind Android-6-Systeme (Marshmallow) mit einem Patchstand vom 5. August zwar gegen drei der vier Lücken geschützt. Android-Geräte mit den Versionen 4.4.4 (KitKat), 5.0.1 und 5.1.1 (Lollipop) sowie einem Patchstand vom 5. August hingegen nur gegen zwei - der Exploit CVE-2016-2059, der Angreifern erlaubt, bestimmte Gerätekomponenten direkt remote anzusprechen, ist hier noch nicht behoben worden, weil Google ihn für die älteren Systeme als nicht so kritisch einstuft. Laut Google stelle die Lücke dank der Kernel-Erweiterung SELinux und deren erzwungener Zugriffskontrolle kaum ein Risiko dar. Genau wie Qualcomm ist der CheckPoint-Forscher da anderer Meinung - auf der Defcon 2016 zeigte er, wie sich SELinux über CVE-2016-2059 so manipulieren lässt, dass der Schutz komplett wegfällt.
Die vierte Sicherheitslücke, CVE-2016-5340, ist auch auf den aktuellsten Android-Geräten noch offen - Google kündigte an, sie in einem der kommenden Android-Security-Bulletins zu beheben. Darüber hinaus weist Google darauf hin, dass Apps, die QuadRooter-Exploits auszunutzen versuchen, durch das in den Google Play Services integrierte und standardmäßig aktivierte Feature "Verify Apps" geblockt werden. Das Feature wurde bereits vor vier Jahren mit Android 4.2 (Jelly Bean) eingeführt.
Wer die Sicherheit seines eigenen Android-Devices testen möchte, kann sich den von Check Point bereitgestellten "QuadRooter Scanner" im Play Store besorgen.
Drive-by-Infektionen nehmen zu
Entscheidend für die beschriebenen Infektionswege ist, dass sich der Nutzer präparierte Apps aus dem Play Store herunterladen muss - aktiv. Der deutsche Security-Anbieter G Data Software weist in seinem neuen "Mobile Malware Report" darauf hin, dass auch die Zahl der Drive-by-Infektionen auf Android-Geräten stark zunimmt. Hier genügt allein der Besuch einer infizierten Website - ohne aktiven, vom Nutzer angestoßenen Download -, um sich Schadcode auf das Gerät zu holen. Derzeit würden so und auf anderen Wegen täglich knapp 9500 neue Android-Schaddateien in Umlauf gebracht. Besonders beliebt sei die Verteilung von Ransomware.
Dass es so viele verschiedene Versionsstände von Android-Systemen und keine einheitliche Update-Politik der Geräteherstelle gibt, sieht der Bochumer Hersteller ebenfalls als Problem. Im Report heißt es dazu: "Sicherheitslücken im Android-Betriebssystem sind dadurch eine noch ernstere Bedrohung. Insbesondere die langen Zeitspannen, bis ein Update für Android auf die Nutzergeräte gelangt, können diese Problematik noch verschärfen."
- Mobile Anwendungen
Die Mobilisierung von Geschäftsprozessen bekommt einen immer größeren Stellenwert für Unternehmen. - Mobile Probleme
Gleichzeitig hat die Mehrheit der Firmen massive Probleme mit der Umsetzung. - Berufliche - private Nutzung/Geräte
Die Nutzungsformen ByoD und COPE sind in den meisten Unternehmen inzwischen etabliert. - Mischung von privaten und geschäftlichen Daten
Mangels geeigneter Lösungen nehmen viele Unternehmen eine Vermischung privater und geschäftlicher Daten in Kauf.
Mit Material von IDG News Service und Deutscher Presse-Agentur.