Eigentlich ist Android mittlerweile eine äußerst sichere Plattform, das betonten Sicherheitsforscher in den vergangenen Jahren immer wieder. Das allerdings immer mit einem entscheidenden Nachsatz: Diese Einschätzung gilt praktisch nur für Googles eigene Pixel-Serie, und da natürlich auch nur, solange es für das jeweilige Gerät noch Updates vom Hersteller gibt. Dass Dritthersteller mit ihren Android-Modifikationen gerne einmal haarsträubende Lücken in diese Schutzmaßnahmen reißen, ist nämlich ebenfalls kein sonderliches Geheimnis. Nun will Google aber auch gegen diesen Missstand vorgehen.

APVI

Unter dem Namen Android Partner Vulnerability Initiative (APVI) hat Google ein neues Unterfangen angekündigt, dessen Ziel es ist, Sicherheitslücken in den Smartphones von Partnerfirmen zu finden. Google sieht darin eine weitere Schutzschicht für das gesamte Android-Ökosystem, die bestehende Initiativen ergänzen soll. Der Fokus liegt insofern nicht auf Fehlern in den Android-Open-Source-Komponenten, da diese ohnehin schon durch die monatlichen Security Bulletins und die damit einhergehenden Patch Level abgedeckt werden. Vielmehr sollen damit Bugs abgedeckt werden, die herstellerspezifisch sind.

Beispielhaft

Was man damit meint, erläutert Google mit einem Verweis auf einige in den vergangenen Monaten bereits im Rahmen des Aufbaus dieser Initiative entdeckten Fehler. So fand man bei einem chinesischen Hersteller eine üble Lücke im Update-System. Dieses lief nicht nur mit Systemrechten, was einen vollständigen Zugriff ermöglichte, der Hersteller sicherte diesen Dienst auch lediglich über ein fix eingetragenes Passwort ab. Wer dieses wusste, konnte auch nach Belieben Programme installieren und Berechtigungen verändern.

Im vorinstallierten Browser von ZTE konnten Websites Passwörter aus dem integrierten Passwort-Manager auslesen. Ebenfalls sehr häufig sind laut Google Manipulationen am Berechtigungssystem, wodurch Apps zu viele Möglichkeiten haben. Von den bisher öffentlich gemachten Bugs waren unter anderem Meizu, Huawei, Oppo und Vivo betroffen.

Apps absichern

Parallel dazu wird noch eine andere neue Initiative bekannt: Aus einer Jobausschreibung geht hervor, dass Google ein neues Sicherheitsteam zusammenstellt, das sich beliebten Apps von Drittherstellern widmen soll. Dessen Aufgabe ist es also, Fehler in diesen Programmen aufzuspüren, und so zu verhindern, dass andere mit weniger noblen Ambitionen die Daten der Nutzer entwenden. Mit dem Google Play Security Rewards Programme widmet sich Google zwar schon bisher dieser Aufgabe, mit dem neuen Team will man diese Aktivitäten aber nun ausdehnen. (apo, 5.10.2020)