Android-Lücke: Google verspricht Update für Nexus-Geräte

29. Juli 2015, 11:57
16 Postings

Sicherheitschef: "Eine Lücke bedeutet noch nicht, dass sie auch real ausgenutzt werden kann"

Wenige Tage nach dem Bekanntwerden mehrerer schwerer Sicherheitslücke im Media Framework Stagefright von Android, meldet sich nun Google erneut zu Wort: In einem kurzen Statement heißt es gegenüber dem STANDARD, dass kommende Woche ein weiteres Update für die eigenen Nexus-Geräte veröffentlicht werden soll, mit dem dann endgültig sämtliche der Lücken geschlossen werden. Bisher war nicht ganz klar, bei welchen Nexus-Geräten welche Bugs bereits bereinigt wurden.

Ablauf

Dies sei übrigens keine außerordentliche Maßnahme, das entsprechende Update sei schon seit längerem geplant. Zudem wurden die entsprechenden Patches schon vor längerem an die eigenen Partner – also vor allem die Hardwarehersteller – weitergereicht. Als Open Source sollen die Patches nach dem angekündigten Vortrag der Sicherheitsforscher von Zimperium auf der Black-Hat-Konferenz veröffentlicht werden.

Grundsätzliche Überlegungen

Einmal mehr betont Google, dass es bisher keine bekannten Angriffe gegen diese Lücke gebe. In eine ähnliche Kerbe schlägt Android-Sicherheitschef Adrian Ludwig auf Google+. Auch wenn er sich dabei nicht direkt auf die aktuellen Lücken bezieht, ist doch aus dem Kontext klar worauf er sich bezieht. So betont Ludwig, dass es in der Öffentlichkeit ein gebräuchliches Missverständnis über Sicherheitslücken gebe. Das reine Vorhandensein eines sicherheitsrelevanten Bugs bedeute noch nicht, dass dieser auch aktiv ausgenutzt werden könne.

Schutzmaßnahme

In den vergangenen Jahren habe Google einiges investiert, um Exploits zu erschweren. So sei mit Android 4.0 Address Space Layout Randomization (ASLR) eingeführt worden, in Android 4.1 sei diese mit der PIE (Position Independent Executables)-Unterstützung komplettiert worden. Damit würde das Ausnutzen von solchen Speicherfehler-Bugs sehr viel schwerer bis unmöglich. Seitdem seien noch zahlreiche weitere Verbesserungen hinzugekommen, darunter etwa NX und FortifySource.

Updates alleine...

Ziel sei es damit von einem Modell, wo Updates der einzige Schutzmechanismus sind, wegzukommen. Diese seien zwar noch immer wichtig, sich aber als singuläre Lösung darauf zu verlassen, sei nicht länger zeitgemäß.

Offene Fragen

Bei all diesen generellen Bemerkungen bleiben die aktuell drängenden, konkreten Fragen jedoch auf der Strecke: Nämlich ob sich die beschriebene Sicherheitslücke, bei der durch manipulierte Bilder oder Videos Schadcode eingeschmuggelt werden kann, auch bei Geräten mit Android 4.1 (und später) jenseits von Laborbedingungen ausnutzen lässt. Braucht ein Angreifer zehntausende Versuche, um den Exploit erfolgreich durchzuführen, wird eine Attacke über zugesandte Bilder oder Videos schlicht unrealistisch. Gegenüber dem STANDARD deutete der Entdecker der Lücke, Joshua Drake, so etwas bereits am Montag an: Mit einem aktuellen Android funktioniere der Exploit zwar noch, benötige aber sehr viele Versuche.

Analyse

In einem Kommentar unter dem Posting von Ludwig kündigt Drake zudem an, in seinem Black-Hat-Vortrag kommende Woche darauf eingehen zu wollen, welche der Android-Schutzmaßnahmen im konkreten Fall gegriffen haben – und welche nicht. Die Präsentation darf also durchaus mit Spannung erwartet werden. (Andreas Proschofsky, 29.7.2015)

  • Artikelbild
Share if you care.