Es gab eine Zeit, da war Android aus der Sicherheitsperspektive so etwas wie der Wilde Westen unter den Betriebssystemen. Den Wechsel brachte vor sieben Jahren eine unter dem Namen Stagefright firmierende Serie an Sicherheitslücken, über die relativ einfach Schadcode auf so gut wie alle Android-Smartphones eingeschmuggelt werden konnte.

Neue Ära

Ein größerer Schaden blieb zwar aus, bei Google nahm man dies aber zum Anlass, um die Android-Sicherheit grundlegend umzukrempeln. Neben einem strukturellen Umbau des Betriebssystems wurde auch ein fixer Rhythmus eingeführt. Immer am ersten Montag im Monat werden dabei aktuelle Risiken öffentlich gemacht und zumindest bei Google selbst auch gleich fehlerbereinigte Updates veröffentlicht. All das geht mit einem verpflichtenden Patch-Level einher, der bei sämtlichen Android-Geräten offenlegt, wie gut sie gerade geschützt sind.

Unvollständige Updates

Wie viel es weiterhin zu tun gibt, legt nun ausgerechnet Google selbst offen. In einem Blog-Eintrag verteilen die Sicherheitsforscher des Project Zero Schelte an sämtliche Android-Hersteller – und damit auch an Google selbst. Das Thema: die viel zu langsame Übernahme der Sicherheitsbereinigungen externer Softwareanbieter.

Konkret geht es um den vom Chipentwickler ARM entwickelten Grafiktreiber für die Mali GPU, die von praktisch allen großen Herstellern verwendet wird. Das Project Zero hat sich diesen vor einigen Monaten vorgenommen und dabei gleich fünf Sicherheitslücken entdeckt, über die Angreifer einen praktisch uneingeschränkten Zugriff auf das System bekommen könnten – unter kompletter Aushebelung des Berechtigungssystems und mit Zugriff auf sämtliche Nutzerdaten.

Ablauf

Die Fehler wurden an ARM gemeldet und dort auch zwischen Juli und August bereinigt. Anschließend wurden sie vom Hersteller öffentlich gemacht. Das Project Zero selbst machte dann einen Monat später die entsprechenden Bug-Einträge publik. Das Problem dabei: Seitdem hat kein einziger Hersteller den fehlerbereinigten Treiber übernommen.

Bei Routinetests habe man nun bemerkt, dass die Lücken bei sämtlichen getesteten Android-Smartphones weiterhin offenstehen – darunter neben Geräten der Pixel-Reihe auch jene von Samsung, Xiaomi, Oppo und anderen Herstellern. Was die Situation noch unerfreulicher macht: Laut ARM gebe es Hinweise, dass diese Lücken bereits aktiv ausgenutzt werden.

Strukturelles Problem

Das Problem ist leider nicht unbekannt, oft gibt es bei Android einen monatelangen "Patch-Gap", bis Fehlerbereinigungen von Drittanbietern übernommen werden. Neben Treibern betrifft das etwa auch den Linux-Kernel – und damit sicherheitsrelevante Bugs, die öffentlich einsehbar sind. Diese Verzögerung machen sich wiederum Angreifer zunutze, um in Ruhe zu testen, was davon sich für ihre Zwecke wirklich nutzen lässt.

Übrigens ist dieses Phänomen auch nicht auf Android beschränkt. Apple musste sich in der Vergangenheit sehr ähnliche Kritik gefallen lassen. So stehen bei iOS oftmals monatelang bereits öffentlich bekannte Lücken in der Rendering-Engine Webkit offen.

Ratschläge

Das Project Zero fordert die Hersteller nun jedenfalls auf, aktiv zu werden, um den Patch-Gap zu minimieren und es so Angreifern zumindest zu erschweren, vor Erscheinen eines Updates einen funktionstüchtigen Exploit zu entwickeln. Denn wer Nutzern – zu Recht – rät, immer die aktuellen Sicherheits-Updates zu installieren, der sollte diesen Ratschlag auch bei sich selbst beherzigen. (Andreas Proschofsky, 24.11.2022)