Die Zahl klingt monströs - mal wieder. Im vergangenen Jahr bedrohte "Stagefright" rund 950 Millionen Android-Geräte. Das behaupteten jedenfalls die Sicherheitsforscher, die die Sicherheitslücke entdeckt hatten und tauften sie die "Mutter aller Android-Schwachstellen". Glaubt man der israelischen Sicherheitsfirma Check Point, gibt es jetzt eine vergleichbar große Lücke: Etwa 900 Millionen Smartphones und Tablets mit Android-Betriebssystem sollen anfällig für "Quadrooter" sein.
Der Blogpost von Check Point entwirft ein düsteres Bedrohungsszenario: Angreifer könnten vier Sicherheitslücken in der Treiber-Software von LTE-fähigen Qualcomm-Chipsets ausnutzen und sich damit Root-Rechte verschaffen. Damit hätten sie die komplette Kontrolle über das betroffene Gerät, könnten also alle Einstellungen ändern, Kamera und Mikrofon steuern, neue Apps installieren oder die Inhalte der Festplatte auslesen. Die Schwachstellen beträfen jedes Gerät mit Qualcomm-Chipsets, also etwa zwei Drittel aller Android-Smartphones und Tablets mit LTE-Unterstützung.
Wer bei der App-Installation aufpasst, hat nichts zu befürchten
Tatsächlich aber unterscheidet sich Quadrooter deutlich von Stagefright, die tatsächliche Gefahr dürfte um einiges geringer sein. Bei Stagefright war der Angriff ohne Zutun der Nutzer möglich, bei Quadrooter müssten die Kriminellen die Smartphone-Besitzer erst dazu bringen, eine präparierte App zu installieren. Tückisch ist allerdings, dass diese App selbst keinerlei Zugriffsrechte benötigt, die Schadsoftware könnte sich also hinter komplett harmlos wirkenden Programmen verstecken. Check Point zufolge werde die Lücke bislang nicht von Kriminellen ausgenutzt, die Gefahr ist also noch theoretisch.
Chinesische Kriminelle verdienen damit Hunderttausende Dollar pro Monat. Auch deutsche Nutzer müssen vorsichtig sein.
Die meisten Nutzer installieren ihre Apps aus dem Play Store, in dem Google die Programme auf Schadcode hin überprüft. Zwar gab es in der Vergangenheit mehrfach Fälle, in denen verseuchte Apps im Play Store auftauchten, das Risiko ist jedoch relativ gering. Wer Software aus anderen Quellen bezieht (per sogenanntem Sideload, der jedoch bei den meisten Android-Smartphones zuerst bewusst aktiviert werden muss), sollte besonders gut darauf achten, nur vertrauenswürdige Apps zu installieren. Das ist nicht erst seit Quadrooter der Fall.
Es gibt einen weiteren Unterschied zu Stagefright - der beunruhigender ist. Moderne Smartphones sind mit einer Technologie namens ASLR ausgestattet, die es Angreifern deutlich erschwerte, den Stagefright-Bug auszunutzen. Für Quadrooter gibt es keinen solchen Schutz, dementsprechend wichtig wäre ein baldiges Sicherheitsupdate der Hersteller.
Nicht einmal Nexus-Geräte sind derzeit sicher
Hier greift das bekannte Android-Problem: Check Point konfrontierte Qualcomm bereits im April mit den Sicherheitslücken, der Chiphersteller stufte alle vier als "hochriskant" ein und verteilte Patches an die Hersteller. Vier Monate später ist trotzdem noch kein Gerät komplett sicher. Für seine Nexus-Serie hat Google drei der vier Schwachstellen bereits behoben, das nächste der monatlichen Sicherheitsupdates soll Anfang September die verbleibende Lücke stopfen. Andere moderne Smartphones bleiben vorerst ungeschützt, darunter die Spitzenmodelle von Samsung, Motorola, LG, HTC, Sony, Oneplus und Blackberry.
Bis alle Hersteller entsprechende Updates verteilt haben, kann es Monate dauern - wenn sie es denn überhaupt tun. Insbesondere ältere Geräte und ältere Android-Versionen werden vernachlässigt, Stagefright ist immer noch eine potenzielle Bedrohung für viele Millionen Smartphones. Wenn Apple eine Sicherheitslücke schließen will, reichen eine Handvoll Versionen des Patches, da jeweils nur wenige Geräte und wenige iOS-Versionen gleichzeitig auf dem Markt sind. In der Android-Welt gibt es Tausende Hersteller, die Zehntausende Smartphones und Tablets bauen, auf denen obendrein etliche unterschiedliche Android-Versionen laufen. Selbst wenn ein Zulieferer wie Qualcomm schnell reagiert und Schwachstellen behebt, bleiben Nutzer unverhältnismäßig lange ungeschützt.
Genau auf dieses Problem wollen die Sicherheitsforscher von Check Point aufmerksam machen, schreiben sie in ihrem Whitepaper ( PDF). Sie haben eine kostenlose App veröffentlicht, mit dem Nutzer überprüfen können, ob ihr Gerät unsicher ist. Momentan erübrigt sich dieser Check jedoch, da es noch keine komplett sicheren Smartphones und Tablets gibt. Sofern ein Qualcomm-Chipset verbaut wurde, beinhaltet dieser momentan mindestens eine Quadrooter-Lücke. Den Hersteller des Chipsets kennt Google, dafür braucht es keine zusätzliche Software. Erst wenn die Hersteller anfangen, die Sicherheitslücken zu schließen, bietet der Quadrooter-Scanner von Check Point Mehrwert. Bis dahin gilt: (noch mehr) Vorsicht bei der Installation von Apps!
