Hunderte Sicherheitslücken: Verbreiteter Android-Smartphone-Prozessor angreifbar
Erst letzte Woche wurde bekannt, dass die Secure Enclave der Apple-A-Chips offenbar angreifbar ist – erst mit dem Apple A12 aus dem iPhone XS und XR behob Apple die Schwachstelle. Laut dem Pangu-Team soll es sich um ein Sicherheitsproblem handeln, welches Apple nicht durch ein Software-Update beheben kann. Doch auch andere Chip-Hersteller haben mit ähnlichen Schwierigkeiten zu kämpfen. Die Sicherheitsfirma Checkpoint fand über 400 Sicherheitslücken in Prozessoren, welche in der Mehrheit von Android-Handy eingesetzt werden.
Google, Samsung, Xiaomi, Oneplus und LG verwenden Qualcomms "Snapdragon"-Prozessoren in den eigenen Smartphones. Google will zwar künftig, ähnlich wie Apple, auf eigene Prozessoren setzen – doch in den aktuellen Pixel-Smartphones und Chromebooks finden sich derzeit Qualcomm-Chips.
Übernahme der Geräte möglichLaut der Sicherheitsfirma
Checkpoint finden sich die 400 entdeckten Sicherheitslücken im digitalen Signalprozessor (DSP) der Snapdragon-Chips. Dieser verwaltet zum Beispiel die Schnelllade-Funktionen, sorgt für KI-Beschleunigung und unterstützt bei bestimmten Multimedia-Aufgaben. Ist es dem Angreifer möglich, Code auf dem Prozessor auszuführen, ist auch die Übernahme des Gerätes möglich – völlig unabhängig von Sicherheitsvorkehrungen des Betriebssystems. So reicht es zum Beispiel, eine infizierte App zu installieren – diese kann daraufhin das ganze Smartphone übernehmen und zum Beispiel Software zum Ausspionieren installieren. Auch Lücken im Browser lassen sich so effektiv von Hackern ausnutzen – eine Komplettübernahme scheint so zumindest theoretisch möglich.
Problem gelöst – jedoch kommt die Lösung meist nie bei dem Kunden anCheckpoint meldete die Probleme an Qualcomm – das Unternehmen behob die Schwachstellen und stellte Updates für Hersteller von Smartphones bereit. Doch anders als bei Apple ist der Weg eines Updates im Android-Lager deutlich länger: In sehr vielen Fällen erhalten Käufer von Android-Handys nur für sehr kurze Zeit Updates und Sicherheitsaktualisierungen – manchmal sogar nur für sechs Monate. Dies bedeutet, dass die allermeisten Android-Kunden die Updates von Qualcomm niemals zur Verfügung gestellt bekommen.
Weil davon auszugehen ist, dass Abermillionen Smartphones die Aktualisierungen verspätet oder niemals bekommen, hat sich Checkpoint dazu entschlossen, keine Details zu den Sicherheitslücken zu veröffentlichen. So müssen Hacker die Lücken in Qualcomms Prozessor zumindest erst selbst identifizieren.