900 Millionen Android-Geräte mit Qualcomm-Chips über vier Sicherheitslücken angreifbar

Malware (Bild: Shutterstock/Blue Island)

Angreifer könnten die Lücken ausnutzen, um die vollständige Kontrolle über ein Android-Gerät zu übernehmen. Laut Google wurden die Lücken teilweise schon behoben. Die Entdecker vom Sicherheitsanbieter Check Point kritisieren aber die Patch-Politik bei Android generell und bieten ein Tool an, mit dem sich prüfen lässt, ob ein Gerät anfällig ist.

Check Point hat vor vier gravierenden Sicherheitslücken gewarnt, die in fast allen Android-Smartphones und -Tablets mit Qualcomm-Chips stecken. Die von dem Sicherheitsanbieter als “Quadrooter” bezeichneten Schwachstellen erlauben Unbefugten die Ausweitung von Benutzerrechten. Angreifer könnten über sie die vollständige Kontrolle über ein Android-Gerät übernehmen. Schätzungen von Check Point zufolge sind weltweit bis zu 900 Millionen Geräte anfällig.

Check Point (Grafik: Check Point)

Wie Adam Donenfeld, leitender Sicherheitsforscher bei Check Point, auf der Sicherheitskonferenz Def Con nannte nun erklärt hat, muss ein Angreifer zur Ausnutzung der Lücken sein Opfer zur Installation einer speziellen Anwendung verleiten. Im Gegensatz zu anderer Android-Malware benötigt die jedoch keine speziellen Berechtigungen. Dennoch gewähren sie dem Angreifer über die Schwachstellen Root-Zugriff. Damit lassen sich dann also sämtliche Daten auslesen, Einstellungen ändern, zusätzliche Apps installieren und auch die gesamte Hardware inklusive Kamera und Mikrofon kontrollieren.

Ein Qualcomm-Sprecher erklärte, die Schwachstellen seien schon bekannt. Zwischen April und Juli hätten Gerätehersteller und Android-Entwickler bereits Patches erhalten. Mit seinem August-Sicherheits-Update habe Google bereist drei der Sicherheitslücken geschlossen. Der vierte Patch soll laut Google im September ausgeliefert werden.

Allerdings kritisiert Check Point die Entwicklung und Verteilung von Patches bei Android dennoch. “Qualcomm hat eine wichtige Rolle in der Entwicklungskette, in der ein Smartphone-Hersteller den Android-Open-Source-Code nicht direkt von Google erhält, sondern von Qualcomm”, sagte Michael Shaulov, Head of Mobility Product Management bei Check Point. Das erschwere den Patch-Prozess und führe zu Verzögerungen. Bei den Quadrooter-Schachstellen sei es beispielsweise nicht möglich gewesen, diese binnen drei Monaten nach der Entdeckung zu beheben.

“Derzeit hat niemand ein Gerät, das wirklich sicher ist”, so Shaulov weiter. “Das liegt eigentlich daran, dass es einige Probleme zwischen Google und Qualcomm gibt, wer welche Lücken behebt.” Check Point bietet eine App an, mit der geprüft werden kann, ob ein Gerät für Quadrooter ist anfällig. Sie steht kostenlos im Google Play Store bereit.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de