Ein aktueller Bug gibt ungewohnten Einblick in die Methoden von Firmen wie Cellebrite, Graykey und Co. Bei Google geschlossen, dürfte der Fehler bei vielen Geräten noch offen sein

Auf den ersten Blick ist die Sache recht einfach: Im Rahmen des Juni-Patchdays hat Google vor einigen Tagen neben den allgemeinen Android-Sicherheits-Updates auch eine ganze Reihe von Fixes veröffentlicht, die lediglich die eigenen Pixel-Smartphones betreffen. Dass einige davon mit der höchsten Warnstufe "kritisch" versehen sind, ist ebenfalls noch nicht weiter ungewöhnlich, sowas kommt in der Softwarewelt regelmäßig vor.

GrapheneOS setzt ganz auf Sicherheit, und liefert dabei auch wichtige Infos an Google. Proschofsky / STANDARD

Dass eine der aufgezählten Lücken laut Google zuvor schon aktiv ausgenutzt wurde, lässt dann schon eher aufhorchen – und sorgte entsprechend für zahlreiche Berichte. Und doch geht all das an der realen Bedrohung vorbei – denn die ist deutlich größer und offenbart dabei auch einen kleinen Einblick in die Welt der von vielen Staaten eingesetzten Spionage-Tools.

Warnung

Doch der Reihe nach: Google weist die diskutierte Lücke mit der Bezeichnung CVE-2024-32896 recht nüchtern im Pixel Update Bulletin aus. Es handle sich um eine Bug in der Pixel Firmware, den man mit der Warnstufe "hoch" versehen hat, andere im aktuellen Bulletin aufgezählten Lücken scheinen also zunächst gefährlicher zu sein. Wesentlich interessanter wird die Angelegenheit erst durch jene Zusatzinformationen, die die Entwickler der ganz auf Sicherheit fokussierten Android-Variante Graphene OS liefern.



Demnach handelt es sich dabei um den dritten einer Reihe von Bugs, die man selbst entdeckt und an Google gemeldet hat, die ersten zwei wurden bereits mit dem April-Update bereinigt. Was die drei eint: Sie wurden von Firmen wie Cellebrite dazu genutzt, um Android-Smartphones zu knacken. Cellebrite und Co. bezeichnen ihre Tools selbst als "forensische Software", die nach der Beschlagnahme von Smartphones zum Einsatz kommt, Hauptabnehmer sind entsprechend Polizeibehörden und Geheimdienste.

Nicht nur Pixel

So weit, so unerfreulich, aber zumindest gibt es nun ein Update, mit dem diese Lücken ausgeräumt werden können. Also alles wieder gut? Leider nicht. In Wirklichkeit seien die erwähnten Bugs in keiner Weise Pixel-spezifisch, und würden sich auch bei anderen Herstellern wie Samsung finden – seien dort aber einfach noch nicht geschlossen worden.

Das sei auch keine ungewöhnliche Praxis. Google liste in den Pixel-Updates oft sicherheitsrelevante Fehler, die eigentlich alle Geräte betreffen, aber aus unterschiedlichen Gründen nicht sämtlichen Herstellern vorgeschrieben werden, wie es im Rahmen der Android Security Bulletins der Fall ist, betont man bei GrapheneOS. Es sei davon auszugehen, dass diese Bugs bei vielen Herstellern dann erst mit dem Update auf Android 15 nachgezogen würden.

Ein Einblick in die Welt der Spionagesoftware

Die Details zum aktuellen Bug – oder genauer zu allen drei – offenbaren aber auch, welcher Tricks sich Firmen wie Cellebrite, XRY oder Graykey bedienen, um bestehende Sicherheitssperren auszutricksen. In diesem Fall setzt die Spionagesoftware an einem Punkt an, den man "After First Unlock" (AFU) nennt.

Die konkrete Attacke funktioniert so, dass ein zuvor eingeschaltetes, aber gesperrtes Gerät neu gestartet und in den Fastboot-Modus versetzt wird, den viele vom manuellen Aufspielen alternativer Software kennen mögen. Durch einen Fehler in Fastboot war es nun möglich, dort den Inhalt des Arbeitsspeichers vollständig auszulesen, in dem nach einem Reboot noch zahlreiche interessante Informationen herumliegen. Google blockiert diesen Angriffsweg nun, indem das RAM vor dem Reboot komplett überschrieben wird. Eine weitere Lücke ermöglichte Spionagefirmen einen von den Usern – etwa aus der Ferne – ausgelösten Wipe-Prozess zu unterbrechen.

Klassifizierung

Die höhere Sicherheit als bei anderen Android-Smartphones ist einer der Gründe, warum GrapheneOS derzeit nur Pixel-Smartphones unterstützt, wie man immer wieder betont. Das würden auch interne Dokumente von Cellebrite zeigen, die den Entwicklern der alternativen Android-Variante zugespielt wurden. Darin sei zu sehen, dass lediglich Pixels und iPhones derzeit effektiv Brute-Force-Angriffe gegen einen Lockscreen-Code verhindern würden. Generell würden die Dokumente belegen, dass Apple und Google bei ihren Geräten ein ähnliches Schutzniveau bieten und deutlich vor anderen Herstellern liegen.

Durch zusätzliche Sicherheitsmaßnahmen sei es dann noch einmal deutlich schwerer, ein Pixel mit GrapheneOS zu knacken.So starten diese etwa nach einer gewissen Zeit ohne Nutzung automatisch neu, womit die Keys für die Datenverschlüsselung nicht mehr im Speicher sind und Angriffe erheblich schwerer werden.

Update

Unabhängig von all diesen allgemeinen Überlegungen bleibt der Ratschlag für die Nutzerinnen und Nutzer von Pixel-Smarpthones so schnell wie möglich das aktuelle Sicherheits-Update (Patch Level: 5. Juni 2024) einzuspielen – immerhin bereinigt dies auch sonst eine Reihe gefährlicher Fehler. Alle anderen Android-User müssen hingegen noch darauf hoffen, dass die jeweiligen Hersteller hier bald nachziehen. (Andreas Proschofsky, 16.06.2024)