Wer die monatlichen Android Security Bulletins von Google verfolgt, dem wird dabei ein gewisser Trend aufgefallen sein. Während der Softwarehersteller die Sicherheitslage in seinem Android Open Source Project (AOSP) mittlerweile sehr gut im Griff hat, sind es andere Bestandteile von aktuellen Smartphones, die sich als problematisch erweisen – und dabei vor allem die proprietären Treiber und Firmware-Komponenten von Firmen wie Qualcomm, Mediatek oder auch Broadcom.

Zahlreiche Probleme

Diesen Eindruck verstärkt nun eine aktuelle Untersuchung der Sicherheitsfirma Checkpoint. Diese hat sich den Digitalen Signalprozessor aktueller Snapdragon-Chips einmal näher angesehen, das Ergebnis ist erschreckend. Durch simples Fuzzing, bei dem zufällige Eingaben an die entsprechende Komponente geschickt werden, um zu sehen wie sie reagiert, hat man mehr als 400 Sicherheitslücken gefunden.

Ein Teil dieser Lücken kann dabei durchaus mit dem Begriff "kritisch" versehen werden. So wäre es etwa Schad-Apps möglich darüber die vollständige Kontrolle über ein Smartphone zu bekommen, und dann auch nach Belieben die Nutzer auszuspionieren, und ihre Daten zu entwenden. Auch ein Zugriff auf Mikrofon, Standortdaten oder Kamera wäre mit einem solch weitreichend Zugriff problemlos machbar.

Weit verbreitet

Die DSP-Chips von Qualcomm finden sich in hunderten Millionen Smartphones, darunter etwa Geräte von Google, Samsung, OnePlus oder auch LG und Xiaomi. Checkpoint betont, dass man all die Fehler natürlich längst an Qualcomm gemeldet hat, und diese von dem Unternehmen auch schon ausgeräumt wurden. Da viele betroffene Geräte aber keine Updates mehr erhalten, dürften Millionen noch in Nutzung befindlicher Smartphones auf Dauer gefährdet bleiben. Bei anderen könnte es hingegen noch einige Zeit dauern, bis ein passendes Update ankommt. Angesichts dessen hat sich Checkpoint zu dem ungewöhnlichen Schritt entschlossen, vorerst keine Details zu den gefundenen Fehlern zu veröffentlichen.

Grundlegende Defizite

Der Bericht zeigt aber auch ein grundlegendes Problem auf: Nämlich wie problematisch die Nutzung von proprietärer Software in diesem Kontext generell ist. Immerhin können die Smartphone-Hersteller oder auch Google selbst – gar nichts zur Behebung dieser Lücken beitragen. Sie sind darauf angewiesen, dass der jeweilige Chiphersteller sie mit einem entsprechenden Update beliefert. Erst dann können sie dieses in ihrer eigene Software einbauen. Das Problem gilt aber auch in die anderer Richtung: Selbst wenn Qualcomm hier Updates liefert, heißt das noch nicht, dass die Hersteller diese auch in ihre Software integrieren und an ihre Nutzer weiterreichen. Zumindest in dieser Hinsicht ist aber Besserung in Sicht. Durch diverse Umbauten an Android soll es künftig möglich werden, dass Treiber unabhängig vom restlichen System über den Play Store aktuell gehalten werden können. (apo, 07.08.2020)