QuadRooter-Lücken betreffen Qualcomm-Chips

900 Millionen Android-Geräte angeblich gefährdet

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
900 Millionen Android-Geräte mit Qualcomm-Chipsatz sollen stark gefährdet sein: Ein Security-Forscher entdeckte vier kritische Schwachstellen, über die nichtprivilegierte Apps die Kontrolle über die mobilen Devices übernehmen können. Google hat drei der Lücken schon gepatcht - und verweist auf sein mit Android 4.2 eingeführtes Security-Feature "Verify Apps".

Adam Donenfeld von Check Point Software Technologies demonstrierte im Rahmen der IT-Security-Konferenz Defcon, wie sich die gemeinschaftlich "QuadRooter" getauften Sicherheitslücken ausnutzen lassen.

Laden Android-Nutzer entsprechend präparierte, unverdächtig erscheinende Apps aus dem Google Play Store herunter, sind ihre Geräte umgehend gefährdet. Donenfelds Angaben zufolge wurden die Schwachstellen bereits zwischen Februar an April an Qualcomm gemeldet - der Chipsatzhersteller veröffentlichte daraufhin mehrere als kritisch eingestufte Bugfixes. "Quadrooter" heißen die vier Lücken deshalb, weil sie Angreifer bei Ausnutzung mit Root-Zugriffsrechten ausstatten können - sobald es dazu kommt, lässt sich das Linux-basierte Android-System komplett fernsteuern. Namentlich handelt es sich um die Sicherheitslücken CVE-2016-2059, CVE-2016-2503, CVE-2016-2504 und CVE-2016-5340 - alle befinden sich in Treiberdateien, die Qualcomm den Geräteherstellern zur Verfügung stellt.

In der Praxis seien die "QuadRooter" getauften Sicherheitslücken bislang nicht ausgenutzt worden, erklärte Donenfeld. Zu den betroffenen Geräten gehören die neuen Samsung-Spitzenmodelle Galaxy S7 and S7 Edge, die Google-Geräte Nexus 5X, 6 und 6P, der BlackBerry Priv, die HTC-Modelle One, M9 und HTC 10, das Sony Xperia Z Ultra, das Moto X von Motorola sowie die LG-Geräte G4, G5, und V10.

900 Millionen Android-Geräte, die mit Qualcomm-Chip laufen, können über die QuadRooter-Schwachstellen attackiert werden.
900 Millionen Android-Geräte, die mit Qualcomm-Chip laufen, können über die QuadRooter-Schwachstellen attackiert werden.
Foto: Twin Design / Shutterstock.com

Android 4 und 5 stärker gefährdet

Qualcomm gab die Bugfixes zwischen April und Juli an die Hersteller aus. Diese kommen mit der zeitigen Weitergabe an die Android-Nutzer aber nicht nach - deshalb sind noch längst nicht alle Devices ausreichend geschützt. Da das Android-Ökosystem so fragmentiert sei, liefen auf vielen Geräten noch ältere Android-Versionen, für die keine Firmware-Updates mehr ausgegeben würden - oder die Bugfixes erst Monate nach Release erhielten, warnte Donenfeld.

So sind Android-6-Systeme (Marshmallow) mit einem Patchstand vom 5. August zwar gegen drei der vier Lücken geschützt. Android-Geräte mit den Versionen 4.4.4 (KitKat), 5.0.1 und 5.1.1 (Lollipop) sowie einem Patchstand vom 5. August hingegen nur gegen zwei - der Exploit CVE-2016-2059, der Angreifern erlaubt, bestimmte Gerätekomponenten direkt remote anzusprechen, ist hier noch nicht behoben worden, weil Google ihn für die älteren Systeme als nicht so kritisch einstuft. Laut Google stelle die Lücke dank der Kernel-Erweiterung SELinux und deren erzwungener Zugriffskontrolle kaum ein Risiko dar. Genau wie Qualcomm ist der CheckPoint-Forscher da anderer Meinung - auf der Defcon 2016 zeigte er, wie sich SELinux über CVE-2016-2059 so manipulieren lässt, dass der Schutz komplett wegfällt.

Die vierte Sicherheitslücke, CVE-2016-5340, ist auch auf den aktuellsten Android-Geräten noch offen - Google kündigte an, sie in einem der kommenden Android-Security-Bulletins zu beheben. Darüber hinaus weist Google darauf hin, dass Apps, die QuadRooter-Exploits auszunutzen versuchen, durch das in den Google Play Services integrierte und standardmäßig aktivierte Feature "Verify Apps" geblockt werden. Das Feature wurde bereits vor vier Jahren mit Android 4.2 (Jelly Bean) eingeführt.

Wer die Sicherheit seines eigenen Android-Devices testen möchte, kann sich den von Check Point bereitgestellten "QuadRooter Scanner" im Play Store besorgen.

Mit dem "QuadRooter Scanner" können Android-Nutzer ihre Geräter auf Anfälligkeit gegen die vier Qualcomm-Chipsatz-Schwachstellen prüfen.
Mit dem "QuadRooter Scanner" können Android-Nutzer ihre Geräter auf Anfälligkeit gegen die vier Qualcomm-Chipsatz-Schwachstellen prüfen.

Drive-by-Infektionen nehmen zu

Entscheidend für die beschriebenen Infektionswege ist, dass sich der Nutzer präparierte Apps aus dem Play Store herunterladen muss - aktiv. Der deutsche Security-Anbieter G Data Software weist in seinem neuen "Mobile Malware Report" darauf hin, dass auch die Zahl der Drive-by-Infektionen auf Android-Geräten stark zunimmt. Hier genügt allein der Besuch einer infizierten Website - ohne aktiven, vom Nutzer angestoßenen Download -, um sich Schadcode auf das Gerät zu holen. Derzeit würden so und auf anderen Wegen täglich knapp 9500 neue Android-Schaddateien in Umlauf gebracht. Besonders beliebt sei die Verteilung von Ransomware.

Dass es so viele verschiedene Versionsstände von Android-Systemen und keine einheitliche Update-Politik der Geräteherstelle gibt, sieht der Bochumer Hersteller ebenfalls als Problem. Im Report heißt es dazu: "Sicherheitslücken im Android-Betriebssystem sind dadurch eine noch ernstere Bedrohung. Insbesondere die langen Zeitspannen, bis ein Update für Android auf die Nutzergeräte gelangt, können diese Problematik noch verschärfen."

Mit Material von IDG News Service und Deutscher Presse-Agentur.