Spätestens seit Stagefright und Stagefright 2 wissen wir: Sicherheitslücken in Googles Betriebssystem Android brauchen unbedingt einen Namen und eine potenzielle Reichweite im neunstelligen Bereich. Andernfalls sind sie kaum vorzeigbar. Deshalb Vorhang auf für QuadRooter, entdeckt, getauft und am vergangenen Wochenende auf der Hackerkonferenz Defcon in Las Vegas vorgestellt von der israelischen Sicherheitsfirma Check Point.

Der Name QuadRooter deutet es schon an: Gleich vier verschiedene Sicherheitslücken können dazu führen, dass Angreifer letztlich Rootrechte auf einem fremden Android-Gerät bekommen, und damit potenziell die vollständige Kontrolle über alle Daten und Funktionen darauf. Sie könnten das Gerät zum Beispiel unbemerkt in eine Wanze verwandeln, in dem sie das Mikrofon einschalten. Oder  sie könnten Dateien löschen oder abgreifen. Betroffen waren oder sind bis zu 900 Millionen Smartphones und Tablets mit Qualcomm-Chips und alle bisherigen Versionen von Android. 

Waren deshalb, weil Check Point sich schon vor Monaten an Qualcomm gewandt hat. Der Chiphersteller hat die Lücken als hoch riskant eingestuft und Patches an Kunden, Partner und die Open-Source-Community verteilt. Google hat die Patches für drei der vier Lücken bereits in seinem monatlichen Sicherheitsupdate für Nexus-Geräte verteilt, das es als Reaktion auf Stagefright eingeführt hatte. Die vierte Lücke wird mit dem September-Update geschlossen. Nicht-Nexus-Geräte bleiben gefährdet, solange die Hersteller nicht ihrerseits alle Patches von Qualcomm an ihre Kunden weitergeben. Was Monate dauern kann.

Schwachstellen in Qualcomms Treibern

Die Schwachstellen liegen nicht direkt in Android selbst, sondern in Software-Treibern von Qualcomms LTE-Chipsets. Genauer gesagt in Treibern für die Kommunikation zwischen verschiedenen Systemkomponenten, für die Speicherzuweisung und für den Grafikprozessor. Qualcomm ist der weltweite Marktführer für Smartphone-Prozessoren und die meisten Gerätehersteller beziehen ihren Android-Code nicht von Google direkt, sondern von Qualcomm. Dementsprechend weit verbreitet ist die angreifbare Software.

Das macht den Reparaturprozess so komplex: Qualcomm muss neue Treiber an alle Gerätehersteller verteilen, im Optimalfall für alle noch gebräuchlichen Android-Versionen. Die Hersteller müssen entweder selbst oder mithilfe der Mobilfunkanbieter die entsprechenden Patches an die Nutzer verteilen. Und die müssen sie dann selbst installieren.

Check Point verfolgt zwei Anliegen mit seinem Angriffskonzept: Erstens freut sich das Unternehmen natürlich über die Aufmerksamkeit für die eigenen Fähigkeiten und Produkte. Zweitens soll QuadRooter den irrsinnigen Koordinationsaufwand in der fragmentierten Android-Welt verdeutlichen. Der, sagt Check Point, setze Nutzer einem Risiko aus, selbst wenn sie fabrikneue Standardgeräte besitzen.

Der tatsächliche Angriff ist schwierig

Wie hoch dieses Risiko im Alltag ist, steht auf einem anderen Blatt. Denn Angreifer, die eine der QuadRooter-Lücken ausnutzen wollen, müssen es zunächst einmal schaffen, ihren Schadcode auf das Zielgerät zu bringen. Möglich ist das in Form einer App. Weil aber die allermeisten Android-Nutzer ihre Apps ausschließlich über Googles offiziellen Play Store beziehen, müsste es die verseuchte Anwendung an Googles Sicherheitsüberprüfung vorbei in den Play Store schaffen. Unmöglich ist das nicht, wie die Erfahrungen aus der Vergangenheit zeigen. Aber es muss eben erst einmal klappen. Und dann muss die App irgendetwas können, das Nutzer interessant genug finden, um sie zu installieren.

Der Schadcode schließlich muss sich seine Rootrechte quasi erst erarbeiten und dabei auch Sicherheitskomponenten wie SELinux austricksen. Das Whitepaper von Check Point (PDF) beschreibt, wie das gelingen könnte. Damit ist das übliche Wettrennen eröffnet: Wer schafft es schneller auf die Endgeräte – eine App mit einem funktionierenden Schadcode oder die Sicherheitsupdates, die von Qualcomm über die Gerätehersteller und Provider bis zum Kunden gelangen müssen? Im besten Fall bleiben von QuadRooter am Ende nur der Name und das Konzept als weiteres Beispiel für eine strukturelle Schwäche im Android-Ökosystem: Das A in Snafu steht für Android.