Die Update-Situation unter Android mag sich in den vergangenen Jahren deutlich verbessert haben, sie bleibt trotzdem das größte Sicherheitsdefizit des mobilen Betriebssystems. Immerhin bringen all die Monat für Monat von Google veröffentlichten Fehlerbereinigungen wenig, wenn sie bei den Nutzern nicht ankommen. Dass dies ein echtes Problem darstellt, darin erinnert nun ausgerechnet Google selbst – wenn auch eine andere Abteilung.

Nachtrag

Die Sicherheitsforscherin Maddie Stone von Googles "Project Zero" weist darauf hin, dass das "Android Security Bulletin" für den Monat Mai nachträglich erweitert wurde. Und zwar um vier Lücken, die besonders unerfreulich sind, wurden sie doch bereits zuvor für gezielte Attacken gegen einzelne User ausgenutzt.

Bei allen vier Lücken handelt es sich um Probleme mit proprietären Bestandteilen für die Grafikdarstellung. Zwei davon betreffen den Grafiktreiber für ARM Mali GPUs, bei zwei weiteren geht es um Grafikkomponenten für die Snapdragon CPUs von Qualcomm. Über all diese Fehler könnte sich ein Angreifer – wenn er es vorher auf anderem Weg aufs Gerät schafft – erhöhte Rechte verschaffen, um dann die Aktivitäten auf dem Gerät auszuspionieren.

Es ist kompliziert ...

Die gute Nachricht: Die Aufnahme in dieses Security Bulletin signalisiert, dass die betreffenden Fehler bereits mit dem aktuellsten Sicherheits-Update für Android geschlossen wurden. Die schlechte: Die Zahl jener Geräte, die dieses Updates bereits erhalten haben, dürfte ziemlich überschaubar sein. Immerhin sind in der Android-Welt jeweils die einzelnen Hardwarehersteller für die Auslieferung von neuen Softwareversionen zuständig. Und diese agieren in dieser Hinsicht manchmal schneller – manchmal weniger. Zudem bedeuten die noch immer relativ kurzen Supportzeiten, dass viele im Umlauf befindliche Geräte all die aktuellen Updates nie bekommen werden.

Im konkreten Fall kommt aber noch ein weiteres Detail hinzu, das bei Berichten über Sicherheitsaktualisierungen unter Android gerne übersehen wird. Mai-Update ist nämlich nicht gleich Mai-Update. Gibt es doch jedes Monat zwei unterschiedliche Patchlevel: Eine Angabe 1. Monat garantiert lediglich, dass damit sämtliche aktuellen Fehler im Kern-Android selbst – also jenen Komponenten, die Google im Rahmen des Android Open Source Project (AOSP) freigibt – geschlossen wurden. Nun finden sich die aktuellen Fehler aber allesamt in den proprietären Treibern, und die Aktualisierung solch externer Komponenten wird nur mit der Angabe 5. Monat – also in dem Fall Mai – garantiert. Das Problem: Bis auf Google verwenden praktisch alle Hersteller nur den schwächeren Patch Level.

Beispielhaft

In der Praxis heißt dies etwa, dass sich Besitzer von Samsung-Smartphones derzeit nicht sicher sein können, ob diese Lücken – so sie davon betroffen sind, immerhin sind diese Chips nicht überall verbaut – schon geschlossen wurden. Zwar könnte das Unternehmen diese Lücken im Stillen bereits geschlossen haben, in den öffentlichen Security Bulletins von Samsung selbst finden sie bislang aber keine Erwähnung. Um hier keinen falschen Eindruck entstehen zu lassen: Für andere Anbieter gilt dieses Problem ebenso – und noch mehr. Immerhin gibt es bei Samsung wenigstens mittlerweile sehr regelmäßig und auch flott die monatlichen Sicherheitsaktualisierungen, etwas das von vielen anderen Herstellern nicht behauptet werden kann.

Pixel und sonst?

Wirklich sicher können sich in Hinblick auf die aktuellen Lücken derzeit also nur die Nutzer von Googles eigenen Pixel-Smartphones sein – also zumindest jene, die noch aktuellen Update-Support erhalten. Alle anderen müssen auf das Juni-Update warten. Gilt doch die Vorschrift, dass jedes Monat wirklich sämtliche Patches des Vormonats enthalten sein müssen – also auch die für externe Komponenten.

Keine Zuordnung

Details dazu, wer diese Lücken bereits aktiv ausgenutzt hat – und gegen wen -, verrät Project Zero nicht. Generell vermeiden die Sicherheitsforscher solche Zuweisungen, da sie oft schwierig exakt vorzunehmen sind – manchmal auch gar nicht. Üblicherweise stecken dahinter aber professionell agierende Geheimdienste oder Firmen, die einschlägige Dienste anbieten. Ziel sind dabei nicht Massenangriffe gegen eine große Anzahl von Usern sondern das Knacken von Geräten einzelner Zielpersonen. Sicherheitsexperten ist diese Praxis trotzdem seit langem ein Dorn im Auge, lassen damit doch staatliche Stellen gezielt den Hersteller über Fehler in dessen Software im Dunkeln, womit auch andere den Bug finden und für eigene Zwecke ausnutzen könnten.

Closed Source ist ein Problem

Einmal mehr zeigt der aktuelle Vorfall auch, wo derzeit die größten Sicherheitsprobleme unter Android zu finden sind, nämlich in den proprietären Bestandteilen der Chip-Hersteller – von Grafik über Bluetooth bis zu WLAN und Telefonie. Dort aufgespürte Fehler machen mittlerweile mit unschöner Regelmäßigkeit das Gros der Einträge in den Android Security Bulletins aus, während in den AOSP-Bestandteilen die schweren Lücken merklich abgenommen haben. Für Angreifer sind die Fehler in proprietären Komponenten aber aus mehreren Gründen besonders verlockend. Einerseits sind sie üblicherweise über eine große Palette an Geräten hinweg zuverlässig ausnutzbar – etwas das bei anderen Android-Bestandteilen aufgrund der zahlreichen Herstellermodifikationen oft ein Problem darstellt. Dazu kommt, dass sich ein Angreifer darauf verlassen kann, dass der Fehler wirklich bei allen Geräten mit den entsprechenden Chips vorhanden ist. Selbst wer nach dem Supportende eines Geräts eine alternative Android-Version aufspielt, entkommt diesen Fehlern nicht, da sie nur vom Originalhersteller ausgeräumt werden können. (Andreas Proschofsky, 21.05.2021)