Liest man die Schlagzeilen der vergangenen Woche, könnte man meinen die Android-Welt steht vor dem Untergang. Mehr als 900 Millionen Android-User seien durch vier bislang unbekannte und allesamt kritische Sicherheitslücken gefährdet, heißt es da. Mindestens so schlimm wie die Stagefright-Lücken, die letztes Jahr für gehörigen Wirbel in der Android-Welt gesorgt haben, seien jene Bugs, die die Sicherheitsforscher von Check Point "Quadrooter" getauft haben.

Spurensuche

Eine Darstellung, die für Schlagzeilen quer durch die gesamte IT-Presse sorgte (ja, auch an dieser Stelle), leider aber von einem klitzekleinen Problem geplagt ist: Sie hat recht wenig mit der realen Gefährdungslage zu tun. Aber betrachten wir doch zunächst einmal die Bugs im Detail. Konkret geht es um vier Sicherheitslücken in unterschiedlichen Treibern des Chip-Herstellers Qualcomm, die allesamt eines gemeinsam haben: Über ihre Ausnutzung kann eine App Root-Rechte erlangen und sich infolge dauerhaft im System verankern. Die Klassifizierung als "kritische" Lücke ist also zweifellos zurecht erfolgt.

Und doch wird damit nur die halbe Wahrheit geliefert, denn nur weil eine kritische Lücke besteht, heißt das noch nicht, dass sie auch ausnutzbar ist. Im konkreten Fall müsste ein Angreifer sein Opfer dazubringen, eine solcherart manipuliert App auf dem eigenen Smartphone oder Tablet zu installieren. Da der Play Store laufend auf solche Exploits geprüft wird, müsste das Opfer hierzu schon selbst einiges an Mithilfe leisten, also zunächst ein Paket aus zweifelhaften Quellen besorgen und dann mehrere Ebenen an Warnhinweisen ignorieren und zentrale Sicherheits-Features von Android deaktivieren.

Verify Apps

Denn an dieser Stelle kommt – übrigens egal ob über den Play Store installiert oder extern – eine Sicherheitsfunktion von Google zum tragen, die sich "Verify Apps" nennt. Dabei handelt es sich um einen Teil jenes Schutznetzes, das nicht nur den Play Store vor Schädlingen schützt sondern auch bei der Installation jeder einzelnen App auf einem Gerät seine Sicherheitschecks durchführt. Zudem führt es auch im laufenden Betrieb regelmäßig Überprüfungen durch, womit Schadsoftware noch im Nachhinein aufgespürt werden kann. Vereinfacht gesagt könnte man das als eine Art fix auf jedem einzelnen Android-Gerät vorinstallierten Virenschutz betrachten. Und war einen, der laufend aktualisiert wird, da Verify Apps Teil der Google Play Services ist, die unabhängig vom Hersteller auf jedem Gerät direkt von Google gepflegt und aktualisiert werden.

Nun ist es zwar in einzelnen Fällen bereits gelungen die Sicherheitschecks des Play Stores zu unterwandern, in diesem Fall ist die Sache aber recht einfach: Die Lücken sind allesamt bekannt, die passenden Exploits auch. Also hat Google Verify Apps bereits entsprechend angepasst, so dass die Installation solcher manipulierter Apps blockiert würde, wie das Unternehmen mittlerweile auf Mediennachfrage auch bestätigt hat. Klar könnte ein Nutzer auch diese Warnungen aushebeln, aber irgendwann muss dann auch davon ausgegangen werden, dass der folgende Exploit bewusst vorgenommen wurde – etwa um gezielt einen Root-Zugang zum Gerät zu erhalten. Fakt bleibt aber einmal mehr: Wer nur Apps aus dem Play Store installiert und keine zentralen Sicherheitsfunktionen von Android deaktiviert, muss sich auch keine Sorgen um Quadrooter machen.

So schlimm wie Stagefright?

Besonderer Unsinn ist der Vergleich mit Stagefright, und zwar aus einem simplen Grund: All die Stagefright-Lücken – und von denen wurden weitgehend unbeachtet vom medialen Interesse in den letzten Monaten übrigens Dutzende geschlossen – sind ungleich gefährlicher, da sie allesamt von außen ausgenutzt werden können. Das, was Quadrooter ermöglicht, ist eine simple lokale Rechteerhöhung. Zweifellos ein Bug, der dringend geschlossen gehört, aber auch einer, wie er in so ziemlich jedem Betriebssystem alle paar Wochen aufgespürt wird.

Nun kann man argumentieren, dass dies einmal mehr zeigt, wie gefährlich die mangelhafte Sicherheits-Update-Politik vieler Android-Hersteller ist. Und das durchaus zurecht, immerhin liegt in diesem Bereich fraglos viel im Argen. Und selbst wenn Features wie "Verify Apps" vor der aktiven Ausnutzung solcher Lücken schützen, so besteht doch immer eine gewisse Restgefährdung vor der die User durch regelmäßige Systemupdates geschützt werden sollten. Das ändert aber nichts daran, dass die Quadrooter-Lücken einfach kein sonderlich gutes Beispiel abgeben. Wer die Android Security Bulletins der letzten Monate durchsieht, wird in wenigen Minuten zahlreiche wesentlich spannendere Bugs finden, um dieses Argument zu stützen.

Marketing

Dass jetzt gerade QuadRooter für so einen Wirbel sorgt, hat einen simplen Grund: Die Entdecker von Check Point haben die Veröffentlichung medial hervorragend aufbereitet. Ein griffiger Name für die Lücke, die passend alarmistische Headline gleich vorgekäut und dann auch noch eine App, die den Nutzern zeigt, ob ihr Gerät verwundbar ist – natürlich mit einer hübschen Radar-Scanner-Grafik im besten Hollywood-Stil garniert.

Dass diese bei fast allen anschlägt, dafür hat man ebenfalls gleich gesorgt: Wurde die Warnung von Check Point doch sicherheitshalber noch veröffentlicht bevor Google sämtliche der Lücken schließen konnte – eines der vier Probleme soll erst mit dem September-Update bereinigt werden. Wobei allerdings ohnehin die Frage ist, ob die App viel mehr macht, als den Prozessor (Geräte ohne Qualcomm-Chip sind ja nicht betroffen) und die Android-Version zu checken. Der in der Community für seine alternativen Android-Kernel bekannte Francisco Franco meldet daran jedenfalls ernsthafte Zweifel an. Hat er doch die letzte verbliebene Lücke in seinem Kernel geschlossen – und trotzdem liefert der Scanner von Check Point weiter das Ergebnis "verwundbar". Wie dem auch sei: Am Umstand, dass die App keinen praktischen Nutzen hat, ändert dies ohnehin nichts. (Andreas Proschofsky, 11.8.2016)