SnoopSnitch: Android-Tool analysiert Sicherheitspatches

Nach der Mutter aller Sicherheitslücken Stagefright sind einige Smartphonehersteller dazu übergegangen, monatliche Sicherheitspatches für ihre Telefone zur Verfügung zu stellen. Nutzer können in ihrem Android-Telefon unter Einstellungen – Über das Telefon, den aktuell installierten Android-Sicherheitspatch-Level einsehen. Bei einigen Geräten findet sich diese Angabe allerdings an anderer Stelle. Samsung-Smartphones informieren unter Einstellungen – Telefoninfo – Softwareinformationen über die Android-Sicherheitspatch-Ebene.

Während Google kurz nach Veröffentlichung für seine Telefone die Sicherheitpatches veröffentlichen, dauert es bei anderen Herstellern etwas länger. Diese müssen in der Regel noch Anpassungen für die in den Smartphones verwendete Android-Version vornehmen, die sich zum Teil erheblich von der Standard-Android-Version, wie sie auf Google-Smartphones zum Einsatz kommt, unterscheidet. Damit diese Anpassungen nicht unnötig viel Zeit beanspruchen, hat Google mit Android 8 das Betriebssystem so unterteilt, dass die Integration von Sicherheitspatches erleichtert wird.

Analyse der Sicherheitspatches mit SnoopSnitch

Wie nun eine Analyse der von Sicherheitsspezialist Karsten Nohl gegründeten Firma Security Research Labs (SRLabs) ergeben hat, sind bei einigen Android-Smartphones allerdings nicht sämtliche Sicherheitspatches integriert, die laut installierter Sicherheitspatchebene vorhanden sein müssten. Für die Analyse von tatsächlich installierten Sicherheitspatches hat SRLabs das Tool SnoopSnitch entwickelt. Es steht im Google Play kostenlos zur Verfügung.

Je nach verwendeter Android-Version unterscheidet sich die Anzahl der analysierten Sicherheitslücken. Mit Android 7 überprüft das Tool 225 Lücken, bei Android 8 sind es 54. In Verbindung mit Android 8.1 funktioniert das Tool noch nicht zuverlässig: Im Test mit dem OnePlus 5T überprüft es nur zwei Lücken.

Das Analyseergebnis des Tools unterscheidet zwischen gepatchten Lücken (patched), ob ein Patch nicht vorhanden ist (Patch missing), After claimed patch Level, Test nicht eindeutig (inconclusive) und Not affected.

Auch wenn das Tool keine fehlenden Patches ausgibt, heißt das noch nicht, dass wirklich alle Sicherheitslücken zu 100 Prozent gestopft sind. Die Anzahl der Tests, bei der kein eindeutiges Ergebnis vorliegt (Test inconclusive), könnten auf potentielle Sicherheitslücken hindeuten.

Obwohl Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen übere mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sich Kriminelle stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchten Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler verlassen, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.