Welches Betriebssystem läuft auf Ihrem Smartphone? Android? iOS? Oder gar etwas ganz anderes wie Sailfish OS oder Ubuntu Phone? Egal wie die Antwort ausfällt, sie ist nur unvollständig. Denn was den meisten wohl nicht bewusst sein dürfte: Parallel dazu sind auf so einem Gerät nämlich noch einige andere, komplett unabhängige Systeme im Einsatz. Eine aktuelle Sicherheitslücke ruft diesen Umstand nun in Erinnerung, und sie zeigt auch, wie groß die Gefahr ist, wenn an dieser Stelle ein Fehler gefunden wird – betrifft er doch schnell einmal eine sehr große Anzahl an Geräten.

Das Modem

Die Sicherheitsforscher von Check Point warnen vor einer gravierenden Lücke im "Mobile Station Modem" (MSM) von Qualcomm – also dem sogenannten Baseband-Prozessor des Unternehmens. Über diese könnten Angreifer theoretisch Telefongespräche der Nutzer abhören, die Anrufliste einsehen oder auch SMS mitlesen. Die Zahl der durch die Lücke potenziell gefährdeten Smartphones ist riesig, immerhin wird weltweit rund ein Drittel aller Smartphones mit Modems von Qualcomm geliefert – vor allem Geräte mit Android.

Der Baseband-Prozessor wird für die grundlegende Kommunikation mit einem Mobilfunknetz genutzt. Auf diesem läuft typischerweise ein komplett eigenes Betriebssystem, im Falle von Qualcomm heißt dieses QuRT. Der konkrete Fehler liegt allerdings in der QMI-Schnittstelle nach außen. Der Zugriff darauf ist unter Android zwar generell beschränkt, es gibt aber trotzdem einige Dienste, die den Fehler ausnutzen könnten, betonen die Sicherheitsforscher – etwa Multimedia-Services.

Was noch verschärfend dazukommt: Bei all diesen Komponenten handelt es sich um proprietäre Software, im Gegensatz zu Android selbst ist hier der Code also nicht öffentlich verfügbar, was unabhängige Prüfungen erschwert. Generell hat sich zuletzt ein klarer Trend gezeigt, dass die wirklich schweren Lücken, von denen Android-Smartphones betroffen sind, vor allem in diesen nicht offenen Komponenten der diversen Chiphersteller zu finden sind. Auch weil diese typischerweise weniger gut überprüft, aber auch strukturell schlechter abgesichert sind als Android selbst.

Immer wieder Kritik

Qualcomm ist dabei ein Unternehmen, das in dieser Hinsicht bereits öfters in die Kritik gekommen ist. So hatte Checkpoint im Vorjahr bereits ganze 400 sicherheitskritische Lücken im Digitalen Signalprozessor (DSP) von Qualcomm gefunden, der unter anderem für die Beschleunigung der Bildaufnahme, aber auch für Schnellladeaufgaben zum Einsatz kommt. Damals wurden die Fehler über ein simples "Fuzzing" aufgespürt, bei dem ein Stück Software mit zufälligen Eingaben konfrontiert wird, um zu sehen, wie es reagiert. Eigentlich gehört Fuzzing mittlerweile zu den Standard-Tools, mit denen Softwarehersteller gerade sicherheitskritische Komponenten regelmäßig testen. Die hohe Anzahl an damals bei Qualcomm gefundenen Lücken legte aber nahe, dass dies bei dem Unternehmen zumindest damals noch nicht der Fall war.

Bevor sich iPhone-Nutzer jetzt allzu sicher fühlen: Während die aktuelle Problematik sie offenbar tatsächlich nicht berührt, stellt sich das generelle Problem mit solch integrierten Drittsystemen aber auch hier. So steht es um die Sicherheit der Bluetooth-Systeme, die ebenfalls mit eigener Firmware laufen, kaum besser. Und hier kauft auch Apple bei anderen Herstellern zu. Dies hat in der Vergangenheit auch immer wieder dazu geführt, dass entsprechende Lücken sowohl Android-Smartphones als auch iPhones betrafen.

Offene Fragen

So unerfreulich der aktuelle Vorfall auch sein mag, er lässt derzeit noch viele Fragen offen. Vor allem jene danach, wie viele Smartphones derzeit wirklich akut gefährdet sind. So spricht Qualcomm in einer Stellungnahme davon, dass man entsprechende Updates bereit Ende 2020 an die eigenen Partner geschickt hat. Ob diese aufgenommen wurden – und wenn ja, von welchen Anbietern –, ist bislang aber unklar. In den offiziellen Security-Bulletins von Firmen wie Google, Samsung und Co findet sich bisher jedenfalls keine Referenz auf den von Checkpoint gemeldeten Fehler (CVE-2020-11292). Das heißt aber auch wieder nicht zwingenderweise, dass der Fehler noch offen steht. In einzelnen Fällen werden diese Hinweise nämlich erst verspätet nachgetragen, etwa um durch eine Veröffentlichung die Gefährdungslage nicht zu erhöhen. Gleichzeitig ist bekannt, dass solche Fehlerbereinigungen im Baseband oft lange brauchen, um in den Updates der einzelnen Hersteller zu landen.

Wirkliche Klarheit wird es also erst in einigen Wochen geben: Laut Qualcomm soll die Lücke nämlich im Android Security Bulletin für den Juni 2021 referenziert werden. Damit müssen dann sämtliche Hersteller die Fehlerbereinigung aufnehmen, wenn sie den kommenden Sicherheits-Patch-Level ausweisen wollen. Doch auch hier besteht noch eine gewisse Unsicherheit, gibt es bei Android doch jeden Monat zwei Patch-Level. Einen mit Datum 1. des Monats und einen mit Datum 5. des Monats. Doch nur der zweite garantiert, dass auch all die aktuellen Fehlerbereinigungen in den proprietären Komponenten von Firmen wie Qualcomm integriert sind. Leider beschränken sich aber fast alle Hersteller – jenseits von Google selbst – auf die schwächere Ausführung des Patch-Levels. Erst mit dem Juli-Update sind dann alle Fehlerbereinigungen – also auch die in solch externen Komponenten – integriert.

Es ist sehr kompliziert und sehr unerfreulich

Wer wirklich sicher sein will, dass der Fehler auf dem eigenen Smartphone behoben wurde, wird sich in vielen Fällen also noch bis Anfang Juli gedulden müssen. All das natürlich vorausgesetzt, dass der Hersteller des eigenen Smartphones überhaupt zeitnah Updates liefert – oder überhaupt noch. Ist Letzteres der Fall, dann muss man sich damit abfinden, dass die betreffende Sicherheitslücke – samt vieler anderer, die monatlich in diesen Bestandteilen gemeldet werden – offen bleibt. Daran ändert übrigens auch ein Wechsel auf eine alternative Android-Firmware nichts. Denn diese kann eben nur Android ersetzen, nicht aber die Baseband-Software. (Andreas Proschofsky, 10.5.2021)