Googles Project Zero ist dazu gedacht, kritische Fehler in viel genutzter Software aufzuspüren. Und dabei ist das Team von Sicherheitsexperten ziemlich erfolgreich: Erst vor wenigen Wochen hatte man eine groß angelegte Hacking-Kampagne gegen iPhones offengelegt, auch in Windows hat man immer wieder grobe Fehler aufgespürt. Doch das Project Zero nimmt sich nicht bloß die Software der Konkurrenz vor, und das hat nun eine interessante Konsequenz.

Entdeckung

Maddie Stone, Sicherheitsforscherin beim Project Zero, hat eine kritische Sicherheitslücke in Android aufgespürt – und zwar eine, die derzeit noch bei zahlreichen Geräten offensteht. Über einen Fehler im Linux Kernel kann eine lokale App ihre Rechte ausweiten, und so ein Smartphone oder Tablet zumindest temporär übernehmen und die Aktivitäten auf diesem ausspionieren. Für eine fixe Verankerung am System reicht dies alleine noch nicht, da hier andere Sicherheitsmechanismen greifen. Auch für eine Ausnutzung von außen müsste das Ganze noch mit einem anderen Bug – etwa in der Rendering Engine des Browser Chrome – kombiniert werden.

Zero Day

Solche Fehler werden in allen Betriebssystemen immer wieder, der betreffende Bug steht aber unter besonderen Vorzeichen: Wie Stone entdeckt hat, wird der betreffende Fehler nämlich bereits aktiv ausgenutzt. Und zwar von der israelischen NSO Group und zumindest einem der Kunden des auf Spionagesoftware spezialisierten Unternehmen. Das ist auch der Grund dafür, dass die Project Zero-Forscherin sich nicht an die üblichen drei Monate Geheimhaltungsfrist nach der Meldung eines solchen Fehlers hält. Für Bugs, die bereits aktiv ausgenutzt werden, beschränkt das Project Zero diese Periode auf sieben Tage, da die Geheimhaltung hier nur mehr wenig Sinn mehr ergibt, und es wichtiger ist die Nutzer zu informieren.

Details

Eine genaue Liste an betroffenen Geräten gibt es bisher noch nicht, da die Android-Hersteller unterschiedliche Kernel-Versionen mit unterschiedlichen Anpassungen verwenden. Klar ist aber, dass der betreffende Bug im offiziellen Linux-Kernel bereits mit der Version 4.14 geschlossen wurde. Damals hatte man den Fehler aber nicht als sicherheitsrelevant erkannt, wodurch er nicht in ältere Versionen zurück portiert wurde – und so der NSO Group den Angriffsweg offengelegt hat.

Von Googles eigenen Geräten sind dabei etwa das Pixel 1 und Pixel 2 betroffen, während Pixel 3 und Pixel 3a nicht mehr gefährdet sind. Bei Samsungs Galaxy S7, S8 und S9 ist ebenfalls bekannt, dass sie auf diesem Weg angreifbar sind, selbiges gilt für das Huawei P20 (Pro) oder auch diverse Xiaomi-Smartphones. Google selbst kündigt in dem Bug-Eintrag an, dass der Fehler mit dem für Montag geplanten Oktober-Update bei den betroffenen Pixel-Smartphones bereinigt wird. Ob dies auch bei anderen Herstellern der Fall sein wird, ist allerdings unklar. Üblicherweise wird die Liste an in einem Sicherheits-Update bereinigten Bugs nämlich schon Wochen zuvor fixiert. Google schmuggelt das Update also noch für seine Geräte hinzu, was andere Anbieter tun, lässt sich damit noch nicht sagen.

Am Rande sei erwähnt, dass Google in die ganze Angelegenheit noch auf einer dritten Ebene involviert ist: Es waren nämlich automatisiert Tests des Unternehmens mit seinem Fuzzing-Tool "Syzbot", die im Jahr 2017 ursprünglich den betreffenden Fehler entdeckt haben. Auch das ist allerdings nicht ganz überraschend, da Google mit solchen Tests bereits eine Vielzahl von Bugs im Linux-Kernel und anderen Open-Source-Programmen aufgespürt hat. (Andreas Proschofsky, 4.10.2019)