Hunderte Sicherheitslücken in Qualcomm-Chips gefährden Millionen
Smartphone-Nutzer
Hunderte Sicherheitslücken in Qualcomm-Chips
gefährden Millionen Smartphone-Nutzer
Werden unter anderem in den Geräten von
Samsung, Google und OnePlus benutzt
Qualcomm hat ein Problem.
Foto: Yves Herman / REUTERS
Wer die monatlichen Android Security Bulletins
von Google verfolgt, dem wird dabei ein gewisser Trend aufgefallen sein.
Während der Softwarehersteller die Sicherheitslage in seinem Android
Open Source Project (AOSP) mittlerweile sehr gut im Griff hat, sind es
andere Bestandteile von aktuellen Smartphones, die sich als
problematisch erweisen – und dabei vor allem die proprietären Treiber
und Firmware-Komponenten von Firmen wie Qualcomm, Mediatek oder auch
Broadcom.
Zahlreiche Probleme
Diesen Eindruck verstärkt nun eine aktuelle
Untersuchung der Sicherheitsfirma Checkpoint. Diese hat sich den
Digitalen Signalprozessor aktueller Snapdragon-Chips einmal näher
angesehen, das Ergebnis ist erschreckend. Durch simples Fuzzing, bei dem
zufällige Eingaben an die entsprechende Komponente geschickt werden, um
zu sehen wie sie reagiert, hat man mehr als 400 Sicherheitslücken
gefunden.
Ein Teil dieser Lücken kann dabei durchaus mit
dem Begriff "kritisch" versehen werden. So wäre es etwa Schad-Apps
möglich darüber die vollständige Kontrolle über ein Smartphone zu
bekommen, und dann auch nach Belieben die Nutzer auszuspionieren, und
ihre Daten zu entwenden. Auch ein Zugriff auf Mikrofon, Standortdaten
oder Kamera wäre mit einem solch weitreichend Zugriff problemlos
machbar.
Weit verbreitet
Die DSP-Chips von Qualcomm finden sich in
hunderten Millionen Smartphones, darunter etwa Geräte von Google,
Samsung, OnePlus oder auch LG und Xiaomi. Checkpoint betont, dass man
all die Fehler natürlich längst an Qualcomm gemeldet hat, und diese von
dem Unternehmen auch schon ausgeräumt wurden. Da viele betroffene Geräte
aber keine Updates mehr erhalten, dürften Millionen noch in Nutzung
befindlicher Smartphones auf Dauer gefährdet bleiben. Bei anderen könnte
es hingegen noch einige Zeit dauern, bis ein passendes Update ankommt.
Angesichts dessen hat sich Checkpoint zu dem ungewöhnlichen Schritt
entschlossen, vorerst keine Details zu den gefundenen Fehlern zu
veröffentlichen.
Grundlegende Defizite
Der Bericht zeigt aber auch ein grundlegendes
Problem auf: Nämlich wie problematisch die Nutzung von proprietärer
Software in diesem Kontext generell ist. Immerhin können die
Smartphone-Hersteller oder auch Google selbst – gar nichts zur Behebung
dieser Lücken beitragen. Sie sind darauf angewiesen, dass der jeweilige
Chiphersteller sie mit einem entsprechenden Update beliefert. Erst dann
können sie dieses in ihrer eigene Software einbauen. Das Problem gilt
aber auch in die anderer Richtung: Selbst wenn Qualcomm hier Updates
liefert, heißt das noch nicht, dass die Hersteller diese auch in ihre
Software integrieren und an ihre Nutzer weiterreichen. Zumindest in
dieser Hinsicht ist aber Besserung in Sicht. Durch diverse Umbauten an
Android soll es künftig möglich werden, dass Treiber unabhängig vom
restlichen System über den Play Store aktuell gehalten werden können.
(apo, 07.08.2020)
https://www.derstandard.at/story/2000119228271/hunderte-sicherheitsluecken-in-qualcomm-chips-gefaehrden-millionen-smartphone-nutzer