Hunderte von Sicherheitslücken im Prozessor-Code bei Android-Smartphones

Die Sicherheitsforscher von Check Point haben hunderte Sicherheitslücken im Code von Qualcomm’s Digital-Signal-Processor (DSP) gefunden – einem Chip, der in fast 40 Prozent aller Smartphones weltweit verbaut ist. Sie sehen darin eine Bedrohung, die über Monate oder Jahre bestehen wird, weil die Behebung kompliziert ist.

Chips des Herstellers finden sich unter anderem in Handys der Firmen Google, Samsung, LG, Xiaomi und Oneplus. Geräte von Apple sind nicht betroffen, da sie auf andere CPUs setzen. Check Point übermittelte die Suchergebnisse verantwortungsbewusst an die Firma Qualcomm, die wiederum alle betroffenen Smartphone-Hersteller benachrichtigte über die Schwachstellen CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 und CVE-2020-11209. Dennoch besteht weiterhin Gefahr durch das „DSP-Gate“, solange die Anbieter keine einheitliche Lösung dieses Problems erarbeitet haben. Aus diesem Grund verzichtet Check Point darauf, technische Details bekannt zu geben, um Hackern keinen Hinweis zu liefern. Gleichzeitig bietet Check Point jedem interessierten Sicherheitshersteller die Zusammenarbeit an.

Das Ausnutzen der Schwachstellen benötigt lediglich der Installation einer einfachen Applikation, entweder durch falsche Links oder Social-Engineering. Einmal auf dem Smartphone, ist der Angriff kaum noch zu stoppen. Die Art der Schwachstelle erlaubt es Hackern, die Kontrolle über das angegriffene Smartphone vollständig zu übernehmen. Die möglichen Folgen sind:

  • „Ihr Telefon spioniert Sie aus“ – Angreifer können das Gerät in ein perfektes Werkzeug zur Spionage verwandeln, ohne Interaktion oder Wissen des Benutzers. Zu den Informationen, die gestohlen werden können, gehören: Fotos, Videos, Gesprächsaufzeichnungen, Echtzeit-Mikrofondaten, GPS- und Standortdaten, Bewegungsdaten und vieles mehr.
  • „Ihr Telefon reagiert nicht mehr“ – Angreifer können die Schwachstellen ausnutzen, um das Smartphone ständig still zu legen. Alle auf diesem Telefon gespeicherten Informationen – einschließlich Fotos, Videos, Kontaktdaten usw. – sind dauerhaft nicht mehr verfügbar.
  • „Ihr Telefon versteckt Aktivitäten der Hacker“ – Malware und anderer Schad-Code können sich, ebenso wie die manuellen Aktivitäten eines Hackers, vollständig verbergen lassen und nicht mehr entfernt werden.
Yaniv Balmas, Head of Cyber Research bei Check Point Software

Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies, warnt daher: „Obwohl Qualcomm das Problem gelöst hat, ist es leider nicht das Ende der Geschichte. Hunderte Millionen von Telefonen sind diesem Risiko ausgesetzt. Die Nutzer können ausspioniert werden und alle Daten verlieren. Unsere Prüfung verdeutlicht das komplexe Ökosystem in der mobilen Welt: Die lange Lieferkette jedes einzelnen Smartphones führt dazu, dass tief verborgene Probleme in den Geräten zu finden sind. Sie zu beheben ist jedoch schwierig. Wir gehen darum davon aus, dass es Monate oder sogar Jahre dauern wird, diese Schwachstellen vollständig zu entschärfen, denn abgesehen vom Hersteller kann niemand tiefgehend das Design, die Funktionen oder den Quell-Code solcher Chips überprüfen. Bis dahin wird es Millionen von Anwendern geben, die für sehr lange Zeit kaum eine Möglichkeit haben, sich zu schützen. Spezialisierte Sicherheitslösungen für Mobilgeräte sind aber ein guter Ansatz, um das gröbste zu verhindern.“

#CheckPoint