Berichte über kritische Sicherheitslücken in Android gibt es zuhauf. All diesen Warnungen steht aber auch eine andere Realität gegenüber: Bisher gibt es trotz der mehr als mangelhaften Update-Situation praktisch keine relevanten Malware-Kampagnen gegen Googles Betriebssystem, bei denen eine dieser Lücken auch wirklich aktiv zum Einsatz kommt. Das scheint sich nun zu ändern.
Exploit
Der Sicherheitsdienstleister Trend Micro hat – außerhalb von Googles Play Store – 1200 Apps aufgespürt, die eine bekannte Android-Lücke ausnutzen, um sich fix auf einem ungeschützten Smartphone zu verankern und eine Hintertür zu installieren. Konkret geht es dabei um jene als "Dirty Cow" bekannt Sicherheitslücke im Linux-Kernel, die bereits vor fast einem Jahr öffentlich wurde. Diese wurde damals von Linux-Distributionen rasch geschlossen, viele Android-Geräte haben aber bis dato kein passendes Update erhalten
Ursachenforschung
Der Grund dafür, dass für die aktuelle Malware-Kampagne ausgerechnet Dirty Cow zum Einsatz kommt, dürfte sein, dass der Fehler besonders einfach und zuverlässig auszunutzen ist. Bei vielen anderen Android-Lücken ist es aufgrund diverser Sicherheitsmaßnahmen nicht so einfach möglich, einen zuverlässigen Exploit zu schreiben. Auch die Diversität im Android-Ökosystem mit vielen unterschiedlichen Herstellern und Geräten macht Angreifern in vielen Fällen die Arbeit schwerer.
Die reale Verbreitung der aktuellen Malware-Kampagne ist allerdings noch begrenzt, Trend Micro spricht von 5.000 Geräten in 40 verschiedenen Ländern. Die Verbreitung erfolgt über alternative App Stores, bei Google Play konnte sich hingegen bisher keine infizierte App mit dem Dirty-Cow-Exploit einschleichen. Befindet sich das Backdoor einmal auf dem Gerät, haben die unbekannten Angreifer damit praktisch vollständige Kontrolle und können alle Aktivitäten und auch sämtliche Daten mitlesen.
Updates?
Unklar bleibt dabei, wie viele Geräte von der Dirty Cow-Lücke betroffen sind. Google selbst hat das Problem mit dem Sicherheitsupdate für den Dezember 2016 behoben. Wer also mindestens diesen Patch-Level hat – der entsprechende Wert kann über die Systeminformationen herausgefunden werden – ist geschützt. Allen anderen bleibt nur der Trost, dass dieser Angriff bisher nicht über den Play Store erfolgt. Wer sich also nicht auf externe Apps einlässt, ist also zumindest vorerst nicht aktiv gefährdet. (Andreas Proschofsky, 27.9.2017)