Unerfreulich sind Sicherheitslücken immer. Schließlich will niemand, dass Angreifer einfach so entsprechende Sperren austricksen und dabei im schlimmsten Fall an sensible Daten gelangen können. Entsprechend wichtig ist es, dass nicht nur die betroffenen Hersteller rasch reagieren, sondern auch die Nutzer alle Updates umgehend einspielen.

Was ich nicht weiß ...

Ein Ratschlag, der bei Zero-Day-Lücken (oder auch: 0-day) allerdings ins Leere läuft, handelt es sich dabei doch um eine besonders gefährliche Unterkategorie von sicherheitsrelevanten Problemen – jene Lücken, die ohne Wissen des Herstellers und somit auch ohne Existenz eines fehlerbereinigenden Updates bereits aktiv ausgenutzt werden.

In einem neuen Blogeintrag widmet sich die Sicherheitsforscherin Maddie Stone von Googles Project Zero nun diesem Thema im Detail. Demnach wurden im Jahr 2021 mehr 0-days bekannt als je zuvor – und zwar mit Abstand. Mit 58 Stück wurde damit der bisherige Rekord aus dem Jahr 2015 (28) mehr als verdoppelt.

Analyse

Stone warnt in dem Zusammenhang allerdings vor voreiligen Schlüssen. Das bedeute nämlich keineswegs, dass sich die Sicherheitslage generell verschlechtert habe. Das Wachstum sei nicht zuletzt darauf zurückzuführen, dass in früheren Jahren viele Zero-Days schlicht nicht als solche ausgewiesen wurden.

Ein Teil des Anstiegs ergebe sich etwa daraus, dass seit Ende 2020 / Anfang 2021 sowohl Apple als auch Google bei ihren mobilen Betriebssystemen – also iOS und Android – 0-days extra kennzeichnen. Zuvor wären solche Lücken oft ohne Hinweis auf die aktive Ausnutzung im Vorfeld geschlossen worden. Das wären allein schon zwölf Lücken, die sonst in der Statistik gar nicht aufgetaucht wären.

Aufteilung

Ein beliebtes Angriffsziel bleiben dabei Browser. Das ist auch wenig überraschend, sind diese doch oft ein guter Weg, um mithilfe manipulierter Webseiten in Smartphones oder PCs einzubrechen. Entsprechend entfallen 14 der entdeckten Zero-Days auf Chrome/Chromium und sieben auf Safari/Webkit. Zehn Zero-Day-Lücken wurden im Vorjahr hingegen für Windows gemeldet. Eine Premiere: 2021 wurde erstmals ein Zero-Day bei Mac OS öffentlich bekannt.

Alles viel zu einfach

Eine weitergehende Analyse der einzelnen Lücken entlockt der Sicherheitsforscherin trotzdem ein ziemlich ernüchterndes Fazit: "Wir machen es Angreifern noch immer sehr einfach." Denn wer glaubt, dass solche 0-days, die oft um Preise im sechsstelligen Dollar-Bereich gehandelt werden, besonders gefinkelt sind, der irrt.

Bei fast zwei Dritteln aller im Jahr 2021 entdeckten Zero-Days handelt es sich um simple Speicherfehler, wie sie in der Programmierung mit Hochsprachen wie C / C++ oft vorkommen. Zudem würden sich unter den gefundenen 0-days viele Variationen früherer Attacken finden. Das könnte zwar auch daran liegen, dass man andere solche Attacken bisher schlicht nicht findet, trotzdem gebe es hier noch viel Verbesserungsbedarf für die Industrie.

Ausnahmeerscheinung

Wirklich bemerkenswert seien eigentlich nur die zwei unter dem Namen Forcedentry bekanntgewordenen iOS-Exploits, die von der israelischen NSO Group entwickelt wurden. Diese hätten nämlich zum Teil komplett neue – und sehr aufwendige – Wege beschritten. So wurde in einem Fall etwa ein Fehler in einem wenig bekannten Grafikformat ausgenutzt, um auf dessen Basis mit Logikoperationen quasi einen Computer im Computer nachzubauen und so übliche Sicherheitsbeschränkungen vollständig zu umschiffen.

Angreifer zu solch einem riesigen – und kostspieligen – Aufwand zu zwingen, genau das müsse das Ziel für die Softwareindustrie sein, ist Stone überzeugt. Derzeit hätten es aber Zero-Day-Jäger jedenfalls noch immer viel zu einfach.

Android

Ein interessantes Detail liefert der Bericht auch zum Status von Android – oder genauer dazu, wo die kritischen Probleme wirklich angesiedelt sind. Die Zahlen sprechen dabei eine eindeutige Sprache: Fünf der sieben im vergangenen Jahr gefundenen Zero-Day-Lücken für Android zielen auf Grafiktreiber ab.

Der Grund dafür: Da die Hersteller den Android-Code individuell für ihre Bedürfnisse anpassen, sei es oft schwer, einen Exploit zu schreiben, der für mehrere Hersteller – oder auch nur mehrere Geräte desselben Anbieters – funktioniert. Also stürzen sich die Angreifer auf proprietäre Bestandteile wie Grafiktreiber. Hier gebe es mit ARM Mali und Qualcomm Adreno eigentlich nur zwei relevante GPU-Familien, auf die man sich konzentrieren könne.

Linux-Kernel

Doch der Bericht zeigt noch ein zweites strukturelles Sicherheitsdefizit von Android auf. Bei zwei der 0-days handelt es sich nämlich um Lücken im Linux-Kernel. Das reale Problem sei hier der große Zeitabstand zwischen der Bereinigung solcher Fehler im Linux-Projekt und der Auslieferung via Android-Update. Oft würden hier Monate vergehen, bis die ersten Hersteller entsprechende Aktualisierungen anbieten.

Derzeit arbeitet Google an einem System namens Generic Kernel Image, mit dem ein einheitlicher Kernel für alle Geräte geschaffen werden soll, der dann auch unabhängig und somit schneller aktualisiert werden können soll. So weit die Theorie, bisher wurde nämlich noch kein einziges Update auf diesem Weg ausgeliefert. Entsprechend ist etwa auch bei Googles eigenem Pixel 6 derzeit in den stabilen Softwareversionen noch eine kritische Sicherheitslücke im Linux-Kernel offen, die bereits seit Anfang März bekannt ist. (Andreas Proschofsky, 21.4.2022)