Angriff auf Android

So erfolgreich die Mobilplattform des Internetriesen Google auch ist, sie hat regelmäßig Sicherheitsprobleme. Und: Lücken werden viel zu spät geschlossen, was für Nutzer zunehmend gefährlich wird.

Ein IT-Security-Forscher hat kürzlich einen Fehler in Googles Mobilbetriebssystem entdeckt, der sich von Onlineganoven erstaunlich leicht ausnutzen lässt: Mit einem schlichten Aufruf einer Website ist es möglich, Smartphones und Tablets mit Android zu übernehmen, alternativ reicht eine einfache App.

Zwar ist unbekannt, ob jemand die schon seit längerem klaffende Lücke tatsächlich bereits ausnutzt. Doch zeigt dieser Fall einmal mehr, dass Google ein schwerwiegendes Problem bei seiner mittlerweile marktführenden Plattform hat. Es gibt keinen Weg für den Konzern, Programmcode, der Sicherheitslücken stopft, effizient auf Hunderte Millionen Geräte zu verteilen. Zudem laufen die meisten Telefone und Tablets mit alten Versionen von Android und werden wohl nie mehr aktualisiert.

Die Software zur Ausnutzung der erwähnten Lücke, die in Googles Browser für Android steckt, wurde von Joe Vennix entwickelt, einem Ingenieur bei der Sicherheitsfirma Rapid7. Der sogenannte Exploit befindet sich bereits in der Security-Software Metasploit, mit der sich auf der ganzen Welt nach Sicherheitslücken gefahndet wird.

Der Code nutzt einen Fehler aus, der eigentlich schon im Dezember 2012 erstmals veröffentlicht wurde. Der mittlerweile vorhandene Exploit könnte verwendet werden, um ein Handy zu übernehmen. Dazu reicht es, das Opfer auf eine Webseite mit dem bösen Code zu locken oder ihn über eine App auszuliefern, beispielsweise über manipulierte Onlinewerbung. Vennix fand unter anderem eine populäre App des chinesischen Internetkonzerns Baidu, bei der der Exploit verwendet werden kann. Ein anderer Forscher demonstrierte sogar, dass der Schadcode mit Googles Computerbrille Glass funktioniert – ein "Wearable Hack", sozusagen.

Vennix schätzt, dass 70 Prozent aller Android-Geräte auf der Welt die Lücke aktuell aufweisen – basierend auf Googles eigenen Zahlen, die die Verbreitung der verschiedenen Betriebssystemversionen erfassen. Google selbst hatte den Fehler bereits im November 2012 behoben, doch die meisten Android-Geräte werden ihn wohl ewig behalten, weil sie von Käufern zwar weiter verwendet, von ihren Herstellern aber nicht mehr aktualisiert werden.

Google hat zahllose Hersteller davon überzeugt, Android auf ihren Geräten zu installieren, doch nur wenige kümmern sich wirklich zuverlässig um Software-Updates. Und Google selbst fehlt es an einem Mechanismus, neuen Code direkt an Geräte auszuspielen, wie man es etwa von PCs mit Windows oder Macs mit OS X kennt. (Apples Android-Konkurrent iOS wird ebenfalls direkt vom Hersteller aktualisiert.)

Das schränkt die Möglichkeiten des Internetriesen ein, neue Funktionen und Sicherheitspatches an Nutzer von Android effizient zu verteilen. Bislang kommt der Konzern mit Versuchen, dies zu ändern, kaum voran. Im Mai 2011 kündigte Google beispielsweise die "Android Upgrade Alliance" an, mit der Mobilfunkanbieter in den ersten 18 Monaten nach Verkaufsstart eines Geräts stets schnell Android-Updates bereitstellen wollten. Doch das Projekt funktionierte nicht richtig und ist mittlerweile inaktiv. Google sagt dazu nichts mehr.

In jüngster Zeit versucht der Konzern auch, Mobilfunkanbieter und Hersteller zu umgehen, indem einige Android-Funktionen in separate Anwendungen gesteckt werden, die die Nutzer aus Googles Online-Laden Play Store beziehen müssen. So kontrolliert Google die Updates. Dazu gehören YouTube, Gmail und die Google-Suche, die zuvor direkt in das Betriebssystem eingebaut waren. Google kann nun neue Funktionen und Sicherheitsverbesserungen direkt ausliefern. In der jüngsten Android-Version wird zudem auch der Browser durch Googles aus dem Play Store stammende Chrome-Software ersetzt.

So lobenswert der Ansatz ist, die Kernbereiche von Android werden damit nicht geschützt. Der von Rapid7 entdeckte Fehler ließe sich so nicht beheben. Dirk Sigurdson, Entwicklungsleiter der von der Firma verkauften Sicherheitslösung Mobilesafe, meint, dass Geräte, die nicht von Google selbst kommen, nicht als sicher angesehen werden sollten. "Die beste Möglichkeit ist noch, sich die hauseigene Nexus-Hardware des Konzerns oder sogenannte Google-Play-Edition-Smartphones zu besorgen, die viel schneller mit den jeweils neuesten Android-Versionen ausgestattet werden."

Laut Google sind über eine Milliarde Android-Geräte seit Oktober 2008 aktiviert worden. Zwar finden sich hier noch nicht so viele Datenschädlinge wie etwa auf einem Windows-PC. Doch der Trend geht in diese Richtung. Die Zahl der Angriffe auf Smartphones und Tablets sowie die Verbreitung von Viren und Würmern nimmt eindeutig zu.

Microsoft entschied sich nach zahlreichen Angriffen auf Windows dazu, ein System einzurichten, das PCs regelmäßig automatisch mit Sicherheitsupdates versorgt. Apple nutzt einen ähnlichen Ansatz. So wurde kürzlich eine Lücke in der Verschlüsselungstechnik SSL entdeckt, die dann für iOS schnell mit einer Aktualisierung behoben wurde. Apple kann das, weil es den Update-Prozess kontrolliert.

Der Ansatz von Microsoft und Apple könnte auch Android helfen, meint der Sicherheitsberater Graham Cluley. Für Google selbst sei das aber derzeit schwierig, weil die Firma Android kostenlos an die Gerätehersteller abgebe und diesen und auch den Mobilfunkanbietern erlaube, die Software zu verändern. "Das Grundproblem ist, glaube ich, dass sie nicht beides kontrollieren, also die Hardware und die Software." Und auch wenn alle Geräte mit Android laufen, nutzten sie doch verschiedene Versionen mit Zusatzprogrammen und Anpassungen.

Ein Grund dafür, warum Hersteller Googles Updates nicht schneller verteilen, ist die Tatsache, dass es arbeitsintensiv ist, sicherzustellen, dass all die Anpassungen bei einer neuen Version weiterhin korrekt funktionieren, wie von den Nutzern gewünscht. "Automatische Updates funktionieren hier nicht", sagt Cluley. (bsc)