Eines steht außer Zweifel: In Hinblick auf Updates hat sich rund um Android in den vergangenen Jahren viel verbessert. Wer etwa ein aktuelles Gerät von Samsung oder Google kauft, bekommt dabei jahrelang mit schöner Regelmäßigkeit die neuesten Sicherheitsaktualisierungen, aber auch Feature-Updates spendiert. Und selbst bei kleineren Herstellern hat sich im Vergleich zu früheren Jahren viel verbessert. Dass es trotzdem noch immer einiges an Luft nach oben gibt, verdeutlicht nun ein aktueller Bericht von Google selbst.

In einer aktuellen Analyse übt Googles Threat Analysis Group schwere Kritik an der Update-Realität in der Android-Welt – und damit auch an den eigenen Kolleginnen und Kollegen, die für die Entwicklung der Pixel-Smartphones zuständig sind. Denn auch wenn sich bei der Behebung von Sicherheitslücken im Android-Code selbst viel getan hat, so bleibt doch ein Bereich weiter ein echtes Problem: die Aktualisierung von aus Drittquellen übernommenem Code und hier vor allem die proprietären Treiber diverser Hardwarehersteller.

Ein roter Android-Roboter mit der Aufschrift Malware.
In Fragen Sicherheit hat sich bei Android in den vergangenen Jahren viel verbessert, einige Problembereiche bleiben aber.
Google

Monatelang offene Lücken

TAG-Sicherheitsforscherin Maddie Stone illustriert die Problematik anhand eines aktuellen Vorfalls: Bereits im Juli 2022 wurde eine kritische Sicherheitslücke im Grafiktreiber für ARM Mali GPUs an das Android-Team bei Google gemeldet. Diese lässt sich nutzen, um einen weitreichenden Zugriff auf so gut wie alle lokal gespeicherten Daten zu erhalten. Davon betroffen ist ein großer Teil sämtlicher Android-Geräte, sind Mali-GPUs doch in diesem Umfeld weitverbreitet.

Umso unerfreulicher ist der folgende Zeitablauf: Zwar leitete das Android-Team den als CVE-2022-38181 geführten Fehler bald an die zuständige Abteilung bei ARM weiter, wo man sich auch umgehend an die Behebung machte. Bis es dann eine fehlerbereinigte Version des Treibers gab, war es aber bereits Oktober. Das wahre Problem entsteht aber erst danach. Denn nur weil es ein Update von ARM gibt, heißt das noch nicht, dass das auch umgehend von den einzelnen Smartphone-Herstellern übernommen wird – ganz im Gegenteil.

Obwohl bereits im November erste Angriffe auf diese Lücke bekannt wurden, dauerte es schlussendlich bis April 2023, bis der Fehler in einem Android-Security-Bulletin Erwähnung fand. Dazu kommt, dass dort erwähnte Bugs in Drittkomponenten erst im Folgemonat wirklich für alle Hersteller verpflichtend sind. So wird etwa bei Samsung der betreffende Bug tatsächlich erst mit dem Mai-Update als bereinigt angeführt. In der Realität heißt das, dass die betreffende Lücke bei vielen Herstellern selbst nach dem Bekanntwerden von aktiven Attacken noch fast ein halbes Jahr offen stand – und bei manchen wohl noch immer nicht geschlossen wurde.

Eine verblüffend stille Ausnahme

Am Rande sei angemerkt, dass Google selbst zumindest etwas schneller als andere Hersteller war. Bei Pixel-Smartphones wurde der entsprechende Fehler nämlich bereits mit dem Jänner-Update behoben – allerdings klammheimlich und ohne Erwähnung in den Update-Notizen. Trotzdem verging auch hier gehörige Zeit zwischen dem öffentlichen Bekanntwerden des Problems und einer Fehlerbehebung.

Es braucht keine Zero-Days

Die Schlussfolgerung, die die Threat Analysis Group aus all dem zieht, ist einigermaßen ernüchternd: Unter Android brauchen Angreifer gar keine "Zero-Day"-Lücken, um Geräte zu übernehmen. Sie können einfach auf bereits bekannte Lücken zurückgreifen und davon profitieren, dass es sehr lange dauert, bis diese durch Android-Updates bereinigt werden.

Ganz neu ist diese Erkenntnis übrigens nicht. In den vergangenen Jahren hat sich die schlechte Wartung von Komponenten aus Drittquellen zunehmend als das größte verbliebene strukturelle Sicherheitsdefizit unter Android herausgestellt. Dabei geht es vor allem um proprietäre Treiber, aber auch Fehlerbereinigungen im Linux-Kernel werden von vielen Herstellern nur sehr langsam übernommen.

Samsung patzt

Doch manche Hersteller machen es Angreifern noch einfacher, und hier muss sich konkret Samsung Kritik gefallen lassen. Dessen eigener Browser – Samsung Internet – wird nämlich mehr schlecht als recht gewartet. So hat Google TAG im Dezember 2022 aktive Attacken auf die Software aufgespürt, die nur deswegen möglich waren, weil der Browser eine sieben Monate alte Version der Chrome-Basis Chromium benutzte. Dadurch konnten die Angreifer auf eine Fülle von bekannten – und in Chrome bereits bereinigten – Sicherheitslücken für ihre Attacken zurückgreifen. (Andreas Proschofsky, 2.8.2023)