Die Klassifizierung von Sicherheitslücken ist nicht immer einfach: So manches Problem ist zwar in der Theorie gefährlich, betrifft in der Praxis aber nur wenige Nutzer. Das ist bei einer nun aufgetauchten Lücke allerdings definitiv nicht der Fall.

Gefährliche MMS

Ein Sicherheitsforscher von Googles Project Zero hat eine kritische Lücke in der Software von Samsungs Android-Smartphones entdeckt. Und zwar eine, die sämtliche seit dem Jahr 2014 verkauften Geräte des Hardwareherstellers betrifft, wie ZDNet berichtet. Über das wiederholte Senden von manipulierten MMS-Nachrichten können Angreifer Schadcode auf ein Smartphone einbringen und dabei auch Schutzmaßnahmen des Systems wie die Speicherverwürfelung ASLR austricksen. Anschließend kann der eingeschmuggelte Code zur Ausführung gebracht werden.

Solch ein Angriff braucht zwar in den Tests 50 bis 300 MMS-Nachrichten, was im Schnitt bis zu 100 Minuten in Anspruch nimmt. Allerdings ist es dem Sicherheitsforscher des Project Zero gelungen, die üblicherweise damit einhergehende Benachrichtigung zu unterdrücken. Damit hätten also Angreifer Zeit, in Ruhe ihre Attacke vorzunehmen, ohne dass die Nutzer etwas davon bemerken. Zumindest erscheinen damit aber Massenangriffe unrealistisch.

Samsungs-Modifikationen

Dass der Fehler ausschließlich Samsung-Smartphones betrifft, liegt daran, dass er in den Android-Modifikationen des südkoreanischen Herstellers zu finden ist. Konkret geht es dabei um die Verarbeitung von Bildern im wenig gebräuchlichen Qmage-Image-Format (.qmg), die Samsung eben seit 2014 unterstützt.

Ähnliche Fehler in Android selbst hatten vor einigen Jahren noch für einige Aufregung gesorgt, hatte sich doch der Mediaserver "Stagefright" als ein schier unerschöpflicher Quell an Lücken in Googles Betriebssystem erwiesen. Auch dort waren MMS-Nachrichten ein einfacher Angriffsweg. Sie haben für den Angreifer den Vorteil, dass sie ohne Interaktion der Nutzer verarbeitet werden. Seitdem hat Google allerdings einige Anstrengungen unternommen, um sein Media-Framework besser abzusichern – und hat dabei auch strukturelle Umbauten vorgenommen, wodurch entsprechende Angriffe erheblich schwerer geworden sind.

Update steht bereit

Es gibt in dem Fall aber auch eine gute Nachricht: Das Project Zero hat den Bug nämlich schon vor einiger Zeit an Samsung gemeldet, und er wurde nun mit dem vor wenigen Tagen erschienenen Mai-Sicherheitsupdate bereinigt – zumindest auf jenen Geräten, die noch aktiv supportet werden. Nutzer von Samsung-Smartphones sollten also darauf schauen, dass sie diese Aktualisierung möglichst bald einspielen.

Die Entdeckung ist Teil eines aktuellen Schwerpunkts der Forscher von Project Zero, haben sie sich doch auf die Suche nach solchen "Zero Click"-Fehlern gemacht. Erst Ende April musste sich dabei Apple einiges an Kritik anhören, die Sicherheitsforscher hatten scharfe Kritik an der Qualität des Image-I/O-Frameworks, das zur Bildverarbeitung unter iOS genutzt wird, parat. In diesem hatte man nämlich gleich einige kritische Sicherheitslücken aufgespürt. (apo, 10.5.2020)