Sicherheitslücken in Pixel-Smartphones: Google revanchiert sich mit bislang höchster Bug Bounty

Ein chinesischer Sicherheitsforscher entdeckte im August 2017 zwei Sicherheitslücken in Googles Pixel-Smartphones. Er dokumentierte die technischen Details, kontaktierte den Hersteller – und wurde für seinen Fund mit insgesamt 112.500 US-Dollar Preisgeld (Bug Bounty) belohnt. In einem Blogeintrag hat Google nun eine detaillierte Beschreibung der beiden Pixel-Lücken veröffentlicht, nachdem sie im Rahmen des Android-Patchdays im Dezember geschlossen wurden.

Ein Großteil des ausgezahlten Betrags – 105.000 US-Dollar – enstammt Googles Android-Security-Rewards-(ASR)-Programm, das 2015 ins Leben gerufen wurde. Es handelt sich hierbei laut Google um die bis dato höchste im Rahmen des ASR ausgezahlte Summe. Da die beiden Lücken die Remote-Code-Ausführung sowie den Ausbruch aus der Sandbox-Umgebung des Chrome-Browsers ermöglichen, erhielt der Forscher zusätzlich noch einmal 7.500 US-Dollar aus dem Chrome-Reward-Programm. Chrome-Versionen ab 61.0.3163.79 (erschienen im September 2017) sind immun gegen die Angriffstechniken.

Exploit Chain ermöglicht Code Injection

Bei den Sicherheitslücken handelt es sich um einen Bug in Googles Open-Source-JavaScript-Engine V8 (CVE-2017-5116) sowie um eine Schwachstelle im Android-Modul libgralloc (CVE-2017-14904). Kombiniert man beide Lücken zu einer so genannten Exploit Chain, ermöglichen sie das Injizieren beliebigen Programmcodes in den Systemprozess system_server nebst anschließender Ausführung. Voraussetzung für einen erfolgreichen Exploit ist allerdings der Aufruf einer speziell präparierten Webseite im Chrome-Browser auf dem Smartphone.

Pixel-Besitzer beziehen die am Android-Patchday verteilten Updates automatisch, sollten also mittlerweile vor der Exploit Chain geschützt sein. Die Verwendung der aktuellsten Browser-Version sorgt – auch jenseits des beschriebenen Angriffsszenarios – für zusätzliche Sicherheit. (ovw)