Für die Sicherheitsexperten bei Google müssen die letzten Tage ein Albtraum gewesen sein: Am 28. Juli informierte der Spezialist Joshua Drake die Öffentlichkeit über «Stagefright», die bis anhin gravierendste Sicherheitslücke im Android-Betriebssystem. Alleine durch das Versenden einer Text- oder Multimedia-SMS kann ein Angreifer sich Zugang zu einem Gerät verschaffen oder sogar die Kontrolle übernehmen.
Zwei Wochen später gelangten Experten von IBM mit einem weiteren Leck an die Öffentlichkeit. Sie fanden heraus, dass Apps auf Android den Sandbox-Sicherheitsmechanismus umgehen und sich so privilegierte Rechte auf einem Android-Gerät verschaffen können
Stagefright: Diese Sicherheitslücke ist sehr gravierend, weil sie einem Angreifer Zugriff auf privilegierte Funktionen ermöglicht und weil viele Geräte davon betroffen sind.
Betroffen sind im Falle von «Stagefright» weltweit rund eine Milliarde Geräte. Obwohl Google und die Hersteller sich beeilt haben, ein Sicherheits-Update zur Verfügung zu stellen, bleiben wohl Millionen Geräte ohne Schutz.
Updates: Schwerfällig und lückenhaft
Denn anders als Apple stellt Google selbst nur zwei Geräte her (Nexus-Tablet und Smartphone). Der Internet Konzern konzentriert sich vielmehr auf die Entwicklung von Android. Hersteller wie Samsung, Sony oder LG nutzen dieses Betriebssystem und passen es an ihre Geräte an.
Muss Google nun eine Lücke in der Software schliessen, so kann der Internetgigant das Update nicht direkt auf die Geräte schicken, da die Hersteller die Software zuerst wieder anpassen müssen. Das kostet Zeit. Und noch gravierender: Aus Kostengründen verzichten viel Hersteller oft darauf, das Update auch auf ältere Geräte zu übertragen.
Weltweit sind deshalb tausende verschiedener Android Gerätetypen im Einsatz, für die von den Herstellern nie ein Update kommen wird. Da Apple jeweils nur wenige Gerätetypen unterstützen muss, sind die iPhone-Nutzer hier im Vorteil. Doch auch sie sollten sich nicht in falscher Sicherheit wiegen.
Im Grundsatz sind alle Systeme von den gleichen Problemen betroffen.
Markt für Schwachstellen
Die gehäuft auftretenden Meldungen von Sicherheitslücken mögen im Falle von Google ein Zufall sein. Tatsache ist: Egal ob Android oder iPhone, weltweit suchen Spezialistinnen und Hacker gezielt nach Schwachstellen, über die ein Angreifer schädliche Software in ein Gerät einschleusen kann.
Findet jemand ein Leck, so hat er verschiedene Optionen. Joshua Drake zum Beispiel, der Entdecker der «Stagefright»-Lücke, wandte sich im April an Google und erhielt dafür eine Entschädigung von angeblich rund 1300 Dollar. Wie andere grosse Software-Firmen ist auch Google bereit, für Hinweise auf Sicherheitslücken Geld zu bezahlen.
Die Entschädigung war für Drake jedoch nicht der Anreiz. Der Experte arbeitet für die Sicherheitsfirma Zimperium, die Software zum Schutz von mobilen Geräten anbietet. «Stagefright» brachte Drake und seine Firma weltweit in die Schlagzeilen – eine unbezahlbare Werbeaktion.
![Tweet: Google paid $1'337 for Android RCE [...], we pay up to $100'000 [...].](https://www.srf.ch/static/cms/images/1280w/978487.webp "Zerodium-Tweet:")
Drake hätte sein Wissen aber auch lukrativ veräussern können: an kriminelle Organisationen oder Aufklärungsdienste. Denn auch die sind an Sicherheitslücken interessiert und bereit, ein Vielfaches der Entschädigungen von Google zu bezahlen.
Zudem gibt es legale Firmen, die Sicherheitslecks für Überwachungssoftware benötigen – für Staatstrojaner etwa. Sie bündeln mehrere solcher Lücken zu einem Produkt, das sie für sehr viel Geld verkaufen, zum Beispiel an Polizeidienststellen.
Zerodium ist eine Firma, die auf dem Markt mit Sicherheitslücken mitmischt. Nachdem Joshua Drake mit «Stagefright» an die Öffentlichkeit gegangen war, mokierte sich das französische Unternehmen in einem Tweet über den Sicherheitsexperten: Statt 1'337 Dollar wie von Google hätte sie ihn mit bis zu 100'000 Dollar entschädigt, zwitscherte die Firma.
Von dieser lukrativen Jagd auf Sicherheitslücken sind alle Arten von Computersystemen betroffen – Smartphones sind aber besonders exponiert, weil sie in der Bedienung nicht sehr flexibel sind. «Auf einem Handy habe ich oftmals nur die Menüoberfläche, die der Hersteller mir anbietet», sagt Hannes Lubich, Professor an der Fachhochschule Nordwestschweiz, «ich habe aber Schwierigkeiten, an die tieferen Teile des Betriebssystems zu gelangen, wenn ich kein Experte bin.» Das wäre aber oft notwendig, um das Gerät sicherer zu konfigurieren.
Trau keinem Smartphone
Die meisten von uns haben ein Smartphone und tragen es ständig auf sich. Ähnlich wie ein Portemonnaie wird es so zu einem persönlichen Gegenstand, dem wir vertrauen. Doch Lubich warnt: «Die wichtigste Botschaft aus dem Vorfall «Stagefright» ist, dass wir uns von der Vorstellung lösen müssen, dass die Endgeräte, die wir an unserem Körper mit uns herumtragen, dadurch implizit sicherer sind.»
Für Lubich gehören Informationen, die Zugang zu Werten wie einem Bankkonto ermöglichen, nicht auf ein Smartphone. Die Frage, ob er auf seinem Smartphone Internet-Banking betreibt, beantwortet der Experte für mobile Systeme mit einem Lachen: Er verzichtet ganz auf ein Smartphone. Und ist gerne bereit, die Kosten zu tragen: weniger Komfort.
