In ihren aktuellen Sicherheits-Updates haben sowohl Google als auch Apple einen kritischen Fehler in den WLAN-Chips von Broadcom bereinigt. Nun liefern die Forscher von Exodus Intelligence erstmals detaillierte Informationen zu Broadpwn, wie die Lücke genannt wird. Und diese sind durchaus besorgniserregend.

Wurmfähige Lücke

Wie sich herausstellt, lassen sich über den Fehler nämlich nicht nur – ungeschützte – Smartphones mit Android als auch iOS problemlos übernehmen. Das Ganze funktioniert so zuverlässig, dass auf dieser Basis auch erstmals ein echter Smartphone-Wurm denkbar wäre, wie die Forscher betonen. Da die einzige Voraussetzung für eine solche Attacke ist, dass sich der Angreifer in der physischen Nähe befindet, könnte sich solch ein Wurm einfach von Gerät zu Gerät verbreiten.

Damit ist Broadpwn auch deutlich schlimmer als eine andere kritische Lücke in den Broadcom-Chips, die Googles Project Zero vor einigen Monaten entdeckt hatte. War für deren Ausnutzung doch notwendig, dass sich der Angreifer im selben WLAN befindet, bei Broadpwn reicht es aus, wenn das Smartphone nach neuen Access Points scannt – und das tun alle von Haus aus laufend.

Angriffsszenario

Auf den WLAN-Chip zu kommen ist natürlich nur der erste Schritt. In einem zweiten könnte dann etwa ein Netzwerkzugriff – immerhin hat man nun die gesamte Kontrolle über solche Anfragen – auf eine eigene Webseite umgebogen werden, um einen passenden Root Exploit zu besorgen und sich fix auf dem Gerät zu verankern.

In dem Blogpost liefert Exodus Intelligence aber auch Details dazu, warum gerade der WLAN-Chip so ein interessanter Angriffspunkt ist. Dazu muss man wissen, dass neben dem "Application Processor" (auf dem das eigentliche Betriebssystem läuft) noch zwei andere – komplett unabhängige – Systeme auf jedem modernen Smartphone laufen: Das Baseband, das Telefonie und Co. abwickelt, und eben der WLAN-Chip – im konkreten Fall der BCM43xx von Broadcom.

WLAN ist besonderes interessant

Der WLAN-Chip ist aus mehreren Gründen für Angreifer besonders spannend: Einerseits läuft dieser auf Smartphones im sogenannten FullMac-Modus, was bedeutet, dass der Chip selbst für praktisch alle Netzwerkaufgaben zuständig ist. Dies passiert vor allem aus Stromspargründen, weil der WLAN-Chip dies am effizientesten erledigen kann. Auf Desktop-Systemen übernimmt hingegen der Betriebssystem-Kernel üblicherweise einen Großteil der Aufgaben (ab OSI Layer 3). Dies bedeutet aber auch, dass all die Sicherheitsmaßnahmen, die moderne Smartphone-Betriebssysteme vor der Ausnutzung von Sicherheitslücken so haben, nicht greifen, weil am Chip eben ein unabhängiges System läuft.

Dazu kommt noch, dass es um die Sicherheit der Broadcom-Firmware alles andere als gut bestellt ist, wie die Forscher ausführen. Moderne Anti-Exploit-Maßnahmen wie die Speicherverwürfelung ASLR gibt es hier nicht, zudem hat jeder laufende Prozess vollständige Schreibberechtigungen auf den gesamten Speicher. Eine Signierung der Firmware gibt es ebenfalls nicht, was es leicht macht, sie zu überschreiben.

Monokultur

Eines der wichtigsten Argumente für die Wahl des WLAN-Chips als Ziel bietet aber die Marktsituation: Während es bei Basebands zumindest eine gewisse Vielfalt gibt (Qualcomm, Samsung, Intel) befinden sich die WLAN-Chips von Broadcom in praktisch jedem Smartphone. So sind denn auch von der aktuellen Lücke unter anderem sämtliche iPhones ab dem iPhone 5, das Galaxy S3 bis S8, diverse Nexus-Geräte und zahlreiche andere Android-Smartphones betroffen.

Updates

Die gute Nachricht bei all dem: Zumindest für die aktuelle Lücke gibt es mittlerweile Patches. Nutzer von iPhones und iPads sollten sicher gehen, dass sie das Update auf iOS 10.3.3 installiert haben, um geschützt zu sein. Unter Android wurde der Fehler mit Patch Level 5. Juli 2017 bereinigt, auf welchem Patch Level das eigene Gerät ist, kann in den Systeminformationen eingesehen werden.

Genau hier liegt aber natürlich das Problem: Auch wenn manche Hersteller wie Google, Samsung oder Blackberry zumindest bei den aktuellen Topgeräten recht regelmäßig Sicherheits-Updates liefern, so stellt dies doch weiterhin eine Ausnahme dar. Rechnet man dann noch all die Geräte dazu, die ohnehin keinen Support mehr erhalten, dürfte man wohl auf dutzende wenn nicht gar hunderte Millionen Smartphones kommen, die aktuell durch die Lücke gefährdet sind. Als Trost bleibt zumindest, dass es bisher noch keine bekannten Angriffe gegen diese Lücke gibt.

Ausblick

Der Ausblick ist jedenfalls ein wenig erfreulicher: Immerhin legt der Bericht nahe, dass es sich für Angreifer lohnt, weiter nach Lücken in der WLAN-Firmware zu suchen – und diese eventuell geheim zu halten. Hier ist Hersteller Broadcom gefordert, die offensichtlichen, grundlegenden Sicherheitsdefizite in seiner Firmware anzugehen und so künftige Angriffe zumindest zu erschweren. (Andreas Proschofsky, 27.7.2017)