Smartphone: Die weltweite Jagd nach Schwachstellen

Eine Armee von Spezialisten und Hackern sucht gezielt nach digitalen Sicherheitslücken – auch auf Smartphones. Die Motive sind unterschiedlich: Geld für die einen, Ruhm für die anderen. Die Experten wissen: Das Smartphone ist bei weitem nicht so sicher, wie wir glauben.

Frau vor einem Computer am Boden sitzend Bild in Lightbox öffnen.

Bildlegende: Hacker und Experten: Weltweit findet eine Jagd auf Sicherheitslücken statt. Mit Software-Fehlern kann man viel Geld verdienen. Reuters

Für die Sicherheitsexperten bei Google müssen die letzten Tage ein Albtraum gewesen sein: Am 28. Juli informierte der Spezialist Joshua Drake die Öffentlichkeit über «Stagefright», die bis anhin gravierendste Sicherheitslücke im Android-Betriebssystem. Alleine durch das Versenden einer Text- oder Multimedia-SMS kann ein Angreifer sich Zugang zu einem Gerät verschaffen oder sogar die Kontrolle übernehmen.

Zwei Wochen später gelangten Experten von IBM mit einem weiteren Leck an die Öffentlichkeit. Sie fanden heraus, dass Apps auf Android den Sandbox-Sicherheitsmechanismus umgehen und sich so privilegierte Rechte auf einem Android-Gerät verschaffen können

«  Stagefright: Diese Sicherheitslücke ist sehr gravierend, weil sie einem Angreifer Zugriff auf privilegierte Funktionen ermöglicht und weil viele Geräte davon betroffen sind. »

Hannes Lubich
Informatik-Professor, Fachhochschule Nordwestschweiz

Betroffen sind im Falle von «Stagefright» weltweit rund eine Milliarde Geräte. Obwohl Google und die Hersteller sich beeilt haben, ein Sicherheits-Update zur Verfügung zu stellen, bleiben wohl Millionen Geräte ohne Schutz.

Updates: Schwerfällig und lückenhaft

Denn anders als Apple stellt Google selbst nur zwei Geräte her (Nexus-Tablet und Smartphone). Der Internet Konzern konzentriert sich vielmehr auf die Entwicklung von Android. Hersteller wie Samsung, Sony oder LG nutzen dieses Betriebssystem und passen es an ihre Geräte an.

Muss Google nun eine Lücke in der Software schliessen, so kann der Internetgigant das Update nicht direkt auf die Geräte schicken, da die Hersteller die Software zuerst wieder anpassen müssen. Das kostet Zeit. Und noch gravierender: Aus Kostengründen verzichten viel Hersteller oft darauf, das Update auch auf ältere Geräte zu übertragen.

Weltweit sind deshalb tausende verschiedener Android Gerätetypen im Einsatz, für die von den Herstellern nie ein Update kommen wird. Da Apple jeweils nur wenige Gerätetypen unterstützen muss, sind die iPhone-Nutzer hier im Vorteil. Doch auch sie sollten sich nicht in falscher Sicherheit wiegen.

«  Im Grundsatz sind alle Systeme von den gleichen Problemen betroffen. »

Hannes Lubich
Informatik-Professor, Fachhochschule Nordwestschweiz

Markt für Schwachstellen

Die gehäuft auftretenden Meldungen von Sicherheitslücken mögen im Falle von Google ein Zufall sein. Tatsache ist: Egal ob Android oder iPhone, weltweit suchen Spezialistinnen und Hacker gezielt nach Schwachstellen, über die ein Angreifer schädliche Software in ein Gerät einschleusen kann.

Findet jemand ein Leck, so hat er verschiedene Optionen. Joshua Drake zum Beispiel, der Entdecker der «Stagefright»-Lücke, wandte sich im April an Google und erhielt dafür eine Entschädigung von angeblich rund 1300 Dollar. Wie andere grosse Software-Firmen ist auch Google bereit, für Hinweise auf Sicherheitslücken Geld zu bezahlen.

Die Entschädigung war für Drake jedoch nicht der Anreiz. Der Experte arbeitet für die Sicherheitsfirma Zimperium, die Software zum Schutz von mobilen Geräten anbietet. «Stagefright» brachte Drake und seine Firma weltweit in die Schlagzeilen – eine unbezahlbare Werbeaktion.

Tweet: Google paid $1'337 for Android RCE [...], we pay up to $100'000 [...]. Bild in Lightbox öffnen.

Bildlegende: Zerodium-Tweet: Für eine Sicherheitslücke ist die Firma bereit, bis zu 100'000 Dollar zu bezahlen. Screenshot Twitter

Drake hätte sein Wissen aber auch lukrativ veräussern können: an kriminelle Organisationen oder Aufklärungsdienste. Denn auch die sind an Sicherheitslücken interessiert und bereit, ein Vielfaches der Entschädigungen von Google zu bezahlen.

Zudem gibt es legale Firmen, die Sicherheitslecks für Überwachungssoftware benötigen – für Staatstrojaner etwa. Sie bündeln mehrere solcher Lücken zu einem Produkt, das sie für sehr viel Geld verkaufen, zum Beispiel an Polizeidienststellen.

Zerodium ist eine Firma, die auf dem Markt mit Sicherheitslücken mitmischt. Nachdem Joshua Drake mit «Stagefright» an die Öffentlichkeit gegangen war, mokierte sich das französische Unternehmen in einem Tweet über den Sicherheitsexperten: Statt 1'337 Dollar wie von Google hätte sie ihn mit bis zu 100'000 Dollar entschädigt, zwitscherte die Firma.

Von dieser lukrativen Jagd auf Sicherheitslücken sind alle Arten von Computersystemen betroffen – Smartphones sind aber besonders exponiert, weil sie in der Bedienung nicht sehr flexibel sind. «Auf einem Handy habe ich oftmals nur die Menüoberfläche, die der Hersteller mir anbietet», sagt Hannes Lubich, Professor an der Fachhochschule Nordwestschweiz, «ich habe aber Schwierigkeiten, an die tieferen Teile des Betriebssystems zu gelangen, wenn ich kein Experte bin.» Das wäre aber oft notwendig, um das Gerät sicherer zu konfigurieren.

Trau keinem Smartphone

Die meisten von uns haben ein Smartphone und tragen es ständig auf sich. Ähnlich wie ein Portemonnaie wird es so zu einem persönlichen Gegenstand, dem wir vertrauen. Doch Lubich warnt: «Die wichtigste Botschaft aus dem Vorfall «Stagefright» ist, dass wir uns von der Vorstellung lösen müssen, dass die Endgeräte, die wir an unserem Körper mit uns herumtragen, dadurch implizit sicherer sind.»

Für Lubich gehören Informationen, die Zugang zu Werten wie einem Bankkonto ermöglichen, nicht auf ein Smartphone. Die Frage, ob er auf seinem Smartphone Internet-Banking betreibt, beantwortet der Experte für mobile Systeme mit einem Lachen: Er verzichtet ganz auf ein Smartphone. Und ist gerne bereit, die Kosten zu tragen: weniger Komfort.