Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

Ein Sicherheitsforscher entwickelt den Proof-of-Concept für das Pixel 2. Er geht weit über die Funktion des bisher von Google bereitgestellten Beispielcodes hinaus. Angreifer sind nun in der Lage, schädliche Apps zu entwickeln, die einen Root-Zugriff herstellen.

Der US-Sicherheitsforscher Grant Hernandez hat Beispielcode für einen Qu1ckR00t genannten Exploit entwickelt und auf GitHub veröffentlicht, der die kürzlich von Google gemeldete Zero-Day-Lücke in Android ausnutzt. Im Gegensatz zum Proof-of-Concept (PoC) der Google-Mitarbeiterin Maddie Stone, die die Anfälligkeit entdeckte, ist Hernandez‘ Code in der Lage, einen Root-Zugang zu schaffen.

Security Android (Bild: ZDNet mit Material von Shutterstock/Mikko-Lemola und Google)Bei der fraglichen Lücke mit der Kennung CVE-2019-2215 handelt es sich um einen Use-after-free-Bug im Kernel. Er lässt sich mithilfe einer schädlichen App oder in Verbindung mit einer Sicherheitslücke im Renderer-Prozess eines Browsers ausnutzen. Das davon ausgehende Sicherheitsrisiko stuft Google als hoch ein.

Anfällig sind jedoch nicht pauschal alle Android-Geräte. Google beschränkt die Liste beispielsweise auf Pixel und Pixel 2 beziehungsweise in Einzelfällen auf Android 9 und 10. So ist das Pixel 3 nicht angreifbar. Positiv getestet wurden hingegen auch Huawei P20, Xiaomi Redmi 5A und Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, alle LG-Smartphones mit Android 8.x Oreo sowie Samsung S7, S8 und S9. Google betonte Anfang des Monats, dass diese Liste nicht vollständig ist und lud Forscher ein, den vorhandenen Exploit-Code mit weiteren Geräten zu testen.

Der ursprünglich von Google entwickelte Beispielcode verschafft Angreifer einen Schreib- und Lesezugriff auf den Kernel. Hernandez‘ PoC über hingegen die Discretionary Access Control (DAC) und Linux Capabilities (CAP) und kann sogar SELinux (Security-Enhanced Linux), SECCOMP (Secure Computing Mode) und MAC (Mandatory Access Control) deaktivieren. Das wiederum gibt einem Angreifer die Möglichkeit, ein anfälliges Gerät zu rooten und die vollständige Kontrolle zu übernehmen.

Allerdings stellt Hernandez nur seinen Quellcode zur Verfügung. Ein Android-Installationsdatei im APK-Format liegt nicht vor. Nutzer müssen den Code zuerst kompilieren, um dann daraus eine App zu erstellen, die mit einem Klick einen Root-Zugang erstellen könnte. Dies soll beim Pixel 2 zusammen mit dem Tool Magisk sogar ohne OEM Unlock funktionieren.

Getestet wurde der Code dem Forscher zufolge bisher nur mit dem Pixel 2. Er rät davon ab, seinen Code mit anderen Geräten zu verwenden – sie könnten dadurch unbrauchbar werden.

Cyberkriminelle könnten den Exploit trotzdem nutzen, um daraus eine Schadsoftware zu entwickeln, die es erlauben würde, Android-Geräte dauerhaft mit Spyware, Trojanern oder Ransomware zu infizieren – und sich selbst Root-Zugriff zu verschaffen.

Der von Google inzwischen veröffentlichte Fix für die Zero-Day-Lücke ist übrigens in der Sicherheitspatch-Ebene 6. Oktober 2019 enthalten. Die aktuellen Updates beispielsweise von Samsung und LG erreichen jedoch nur die Sicherheitspatch-Ebene 1. Oktober. Ihre Geräte werden also erst mit den November-Patches vor Angriffen auf die Schwachstelle geschützt sein.

WEBINAR

Webinar-Aufzeichnung: HPE Server mit AMD EPYC 2 stellen 37 Rekorde auf

Das Webinar informiert Sie über die neuen auf AMD EPYC 2 basierenden HPE Server. Erfahren Sie mehr über die erheblichen Leistungs- und Kostenvorteile, die die neue Architektur in der Praxis bietet. Jetzt registrieren und Webinar-Aufzeichnung ansehen.

Themenseiten: Android, Google, Security, Sicherheit, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

Kommentar hinzufügen
  • Am 17. Oktober 2019 um 20:13 von S10-Fingerprint-gate

    Ich glaube, Samsung hat erst mal eine andere Priorität für die nächsten Wochen:

    https://is.gd/ZRFeTy

    Mit einer 3€ Schutzhülle den Fingerabdruckscan des S10 zu unterlaufen, so dass sich jeder anmelden kann, das ist schon eine andere Qualität, als das, was wir in letzter Zeit an Bugs beim Wettbewerb gesehen haben.

    Da haben einigen nun aber zu tun.

  • Am 17. Oktober 2019 um 20:15 von S10-Fingerprint-gate

    Die Empfehlung …

    „Grundsätzlich sei es für Kunden empfehlenswert, nur von Samsung autorisiertes Zubehör zu verwenden.“

    … muss man sich mal auf der Zunge zergehen lassen. ;)

    Klar, Gangster und Diebe werden sich garantiert daran halten.

    Ein Fall für Doctor C. Echauffieren Sie sich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *