Googles Project Zero testet das Galaxy S6 Edge - eine Katastrophe

Bei Google versucht man sich jetzt offenbar selbst ein Bild davon zu machen, wie schlimm es um die Sicherheit des Android-Ökosystems tatsächlich bestellt ist. Das hauseigene Project Zero, das sich auf die Fahndung nach Sicherheitslücken spezialisiert hat, nahm sich daher das Galaxy S6 Edge vor und fand katastrophale Schwachstellen. Wie die Projektleiterin Natalie Silvanovich in ihrem Bericht ausführte, habe man sich zuvor schon mit den hauseigenen Nexus-Geräten befasst. Allerdings werde die Mehrzahl der verkauften Android-Smartphones von Drittherstellern auf den Markt gebracht, die selbst noch auf allen Rechte-Ebenen Modifikationen am Betriebssystem vornehmen. Daher habe man sich ein Bild davon machen wollen, wie verwundbar die Systeme sind und wie schnell Sicherheitslücken repariert werden.

Project Zero setzte zwei Teams in einem Wettbewerb auf das Samsung-Smartphone an. Die Wahl sei auf das Galaxy S6 Edge gefallen, weil es sich um eines der Vorzeigegeräte der Android-Welt handelt und bei sehr vielen Nutzern zu finden ist. Die Sicherheitsforscher hatten dabei die Aufgabe, möglichst realistische Angriffe durchzuführen, um beispielsweise herauszufinden, wie schwer es ist, aus der Entfernung Zugriff auf sensible Daten zu erhalten.


Und das Ergebnis war ernüchternd. Die Project Zero-Teams fanden gleich elf schwerwiegende Sicherheitslücken, die von Angreifern ohne allzu großen Aufwand ausgenutzt werden können. Immerhin wurden die meisten davon inzwischen binnen eines annehmbaren Zeitrahmens wieder geschlossen.

Fremder Code findet leichte Wege

Eine Schwachstelle entstand laut dem Bericht durch einen Prozess, der den Download-Ordner regelmäßig nach ZIP-Dateien durchsucht und diese entpackt, um die Inhalte dem Nutzer zugänglich zu machen. Allerdings wurde hier beim Extrahieren keine Prüfung der Pfadangaben durchgeführt. Einem Angreifer war es so möglich, eigenen Code an beliebige Stellen ins Dateisystem zu schreiben. Der Fehler ließ es so im Grunde zu, dass beliebige Dateien des Betriebssystems oder von Anwendungen ersetzt wurden, womit man ein Gerät letztlich komplett unter Kontrolle bekommt.

Gleich mehrere Bugs wurden auch im Umgang mit Bilddateien gefunden. Hier war es möglich, über entsprechend manipulierte Files Code einzuschleusen. In zwei Fällen wurde dieser immerhin erst ausgeführt, wenn der Anwender das jeweilige Bild öffnete. Drei anders gestaltete Angriffe ermöglichten es aber auch, Code bereits durch den Scan-Vorgang des Systems ausführen zu lassen. Hier genügte es also, wenn die Bilddatei schlicht nur auf dem Gerät vorhanden war, um eine Attacke erfolgreich durchzuführen.


Andere Probleme fanden sich auch im Umgang des Samsung-Gerätes mit E-Mails und in verschiedenen Treibern, die durch den Hersteller hinzugefügt wurden. Die neun kritischsten Sicherheitslücken wurden von den Südkoreanern aber immerhin binnen eines Zeitraums von 90 Tagen geschlossen - vor allem das Oktober-Update brachte hierfür eine Reihe von Patches mit. Die drei weniger starken Probleme sollen nun mit dem November-Update beseitigt werden.

Da es sich hier aber im Grunde nur um eine Stichprobe in dem riesigen und vielfältigen Android-Ökosystem handelt, ist anzunehmen, dass es nicht nur bei Samsung-Geräten solche Probleme gibt. Es dürfte daher spannend werden, welche Schlussfolgerungen man bei Google selbst ziehen wird - denn der Konzern dürfte ein großes Interesse daran haben, dass das Image seiner Plattform letztlich nicht vor allem von massiven Sicherheitsproblemen geprägt wird. Samsung Galaxy S6, Samsung Galaxy S6 Edge Plus, Samsung Galaxy S6 Edge+