Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen I
Schwach-stellen II

Allgemeine Bemerkungen
Woher
Forscher haben davor gewarnt, dass militärische Operationen und Flugsicherheits-kommunikation, die durch Software Schwächen gefährdet
Konten sekundenschnell gehackt Forscher warnen vor Whatsapp-W-Lücke

Löcher im digitalen Schutzwall
873 Schwachstellen im F 35 aber bereits weniger als 2018
Identitätsdiebstahl: Sicherheitsforscher warnen vor grundlegender Lücke in LTE-Netzen
Angreifer könnten sich als andere Personen ausgeben, und in deren Namen auftreten – Allerdings hoher Aufwand notwendig

NSA-Hintertür in Netzwerk-Hardware wurde von anderem Staat zur Spionage genutzt
Signal-Entwickler hackt Spionagetools von FBI-Zulieferer Cellebrite
Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Hunderte Sicherheitslücken in Qualcomm-Chips gefährden Millionen Smartphone-Nutzer
Schwere Sicherheitslücke ermöglicht Abhören von Telefongesprächen bei einem Drittel aller Smartphones
Google stößt im Android-System auf bedrohliche Sicherheitslücke
Samsung deckt kritische Schwachstellen in allen Smartphones auf, die nach 2014 veröffentlicht wurden
 
 
 
 
 
 
Standard

Hunderte Sicherheitslücken in Qualcomm-Chips gefährden Millionen Smartphone-Nutzer



Hunderte Sicherheitslücken in Qualcomm-Chips gefährden Millionen Smartphone-Nutzer
Werden unter anderem in den Geräten von Samsung, Google und OnePlus benutzt


Qualcomm hat ein Problem.

Foto: Yves Herman / REUTERS
Wer die monatlichen Android Security Bulletins von Google verfolgt, dem wird dabei ein gewisser Trend aufgefallen sein. Während der Softwarehersteller die Sicherheitslage in seinem Android Open Source Project (AOSP) mittlerweile sehr gut im Griff hat, sind es andere Bestandteile von aktuellen Smartphones, die sich als problematisch erweisen – und dabei vor allem die proprietären Treiber und Firmware-Komponenten von Firmen wie Qualcomm, Mediatek oder auch Broadcom.

Zahlreiche Probleme
Diesen Eindruck verstärkt nun eine aktuelle Untersuchung der Sicherheitsfirma Checkpoint. Diese hat sich den Digitalen Signalprozessor aktueller Snapdragon-Chips einmal näher angesehen, das Ergebnis ist erschreckend. Durch simples Fuzzing, bei dem zufällige Eingaben an die entsprechende Komponente geschickt werden, um zu sehen wie sie reagiert, hat man mehr als 400 Sicherheitslücken gefunden.

Ein Teil dieser Lücken kann dabei durchaus mit dem Begriff "kritisch" versehen werden. So wäre es etwa Schad-Apps möglich darüber die vollständige Kontrolle über ein Smartphone zu bekommen, und dann auch nach Belieben die Nutzer auszuspionieren, und ihre Daten zu entwenden. Auch ein Zugriff auf Mikrofon, Standortdaten oder Kamera wäre mit einem solch weitreichend Zugriff problemlos machbar.

Weit verbreitet
Die DSP-Chips von Qualcomm finden sich in hunderten Millionen Smartphones, darunter etwa Geräte von Google, Samsung, OnePlus oder auch LG und Xiaomi. Checkpoint betont, dass man all die Fehler natürlich längst an Qualcomm gemeldet hat, und diese von dem Unternehmen auch schon ausgeräumt wurden. Da viele betroffene Geräte aber keine Updates mehr erhalten, dürften Millionen noch in Nutzung befindlicher Smartphones auf Dauer gefährdet bleiben. Bei anderen könnte es hingegen noch einige Zeit dauern, bis ein passendes Update ankommt. Angesichts dessen hat sich Checkpoint zu dem ungewöhnlichen Schritt entschlossen, vorerst keine Details zu den gefundenen Fehlern zu veröffentlichen.

Grundlegende Defizite
Der Bericht zeigt aber auch ein grundlegendes Problem auf: Nämlich wie problematisch die Nutzung von proprietärer Software in diesem Kontext generell ist. Immerhin können die Smartphone-Hersteller oder auch Google selbst – gar nichts zur Behebung dieser Lücken beitragen. Sie sind darauf angewiesen, dass der jeweilige Chiphersteller sie mit einem entsprechenden Update beliefert. Erst dann können sie dieses in ihrer eigene Software einbauen. Das Problem gilt aber auch in die anderer Richtung: Selbst wenn Qualcomm hier Updates liefert, heißt das noch nicht, dass die Hersteller diese auch in ihre Software integrieren und an ihre Nutzer weiterreichen. Zumindest in dieser Hinsicht ist aber Besserung in Sicht. Durch diverse Umbauten an Android soll es künftig möglich werden, dass Treiber unabhängig vom restlichen System über den Play Store aktuell gehalten werden können. (apo, 07.08.2020)
https://www.derstandard.at/story/2000119228271/hunderte-sicherheitsluecken-in-qualcomm-chips-gefaehrden-millionen-smartphone-nutzer