Android: Google warnt vor gefährlicher Lücke in mehreren Smartphone-Modellen
In einigen Smartphones, unter anderem von Google, LG und Samsung, steckt eine gefährliche Sicherheitslücke, die mitunter auch aus der Ferne ausnutzbar ist.
Die Sicherheitsforscherin Maddie Stone aus Googles Project-Zero-Team hat auf eine schwerwiegende Sicherheitslücke im Code des Android-Betriebssystems hingewiesen, die mehrere Smartphone-Modelle verschiedener Hersteller betrifft.
Ein lokaler Angreifer könnte die Lücke missbrauchen, um seine Rechte zu erweitern und letztlich die vollständige Kontrolle über das Gerät zu erlangen. Dazu müsste er zunächst eine Anwendung auf dem Zielgerät installieren. Darüber hinaus sei die Lücke in Kombination mit einem zweiten, so genannten Renderer-Exploit unter bestimmten Voraussetzungen auch aus der Ferne ausnutzbar.
Google hat das Vorhandensein der Sicherheitslücke bestätigt und schätzt ihren Schweregrad als "hoch" ein. Sie trägt die CVE-Kennung CVE-2019-2215 und ist eigentlich nicht neu. Vielmehr wurde sie laut Stone bereits Ende 2017 im Linux-Kernel (LTS-Version 4.14) gepatcht – damals ohne CVE-Nummer, die das Nachverfolgen erleichtert hätte. Der korrigierte Code floss dann in mehrere (3.18, 4.4 und 4.9), aber eben nicht in alle Versionen des Android-Kernels ein.
Mehrere verwundbare Geräte
In einem Eintrag im Chromium-Bugtracker schreibt Stone, dass mindestens die folgenden Geräte den betreffenden Android-Kernel-Code in seiner verwundbaren Form nutzen:
- Google Pixel 1 / 1 XL und 2 / 2 XL
- Huawei P20
- Motorola Moto Z3
- LG-Smartphones mit Android 8 ("Oreo")
- Samsung S7, S8, S9
- Oppo A3
- Xiaomi Redmi 5A und Redmi Note 5
Angesichts der Tatsache, dass sie den verwundbaren Code mittels eines Sourcecode-Vergleichs aufgespürt hat, ist es allerdings gut möglich, dass noch weitere Smartphone-Modelle die Lücke aufweisen. Ausdrücklich nicht verwundbar sind laut Google die Pixel-Modelle 3 und 3A.
Proof-of-Concept verfügbar, Updates noch nicht
Maddie Stone hat einen Proof-of-Concept-Exploit zum lokalen Missbrauch von CVE-2019-2215 veröffentlicht. Man habe sich gegen das Einhalten der üblichen 90-Tage-Frist (Responsible Disclosure) zum Veröffentlichen von Sicherheitslücken-Details entschieden und sei bereits nach sieben Tagen an die Öffentlichkeit gegangen, da es Hinweise darauf gebe, dass die Lücke bereits aktiv in freier Wildbahn ausgenutzt werde.
Dahinter steckt nach Stones' Einschätzung der israelische "Überwachungsdienstleister" NSO Group. Dieser ist dafür bekannt, Spionage-Software an Regierungen, darunter auch totalitäre Regime, zu verkaufen. Die wiederum nutzen sie, um politische Gegner oder (potenzielle) Kritiker auszuspähen.
Gooles Pixel-1 und -2-Geräte (inkl. XL) sollen noch diesen Monat zum regulären Android-Oktober-Patchday (d.h. in den kommenden Tagen) Updates erhalten. Ein Kernel-Patch ist öffentlich verfügbar, die offiziellen Android-Partnerunternehmen informiert. Ob und wie schnell verwundbare Geräte Updates erhalten, hängt nun von den Herstellern ab. Derweil können Smartphone-Besitzer die Wahrscheinlichkeit aktiver Angriffe zumindest reduzieren, indem sie die App-Installation auf das Nötigste beschränken und dabei möglichst immer auf den Play Store zurückgreifen.
Update 08.10.19, 11:53: Google hat zum Oktober-Patchday Sicherheitsupdates für die betroffenen Pixel-Geräte veröffentlicht. (ovw)