Google hat den USB-Fehler stillschweigend behoben, der über eine Milliarde Android-Geräte offengelegt hat
In der ersten Februarwoche veröffentlichte Google sein übliches Android-Sicherheitsbulletin, in dem Sicherheitslücken detailliert beschrieben wurden, die geschlossen wurden, um die Sicherheit der Plattform zu erhöhen. Diese Mängel werden in der Regel gemeldet, sobald sie behoben wurden, außer in besonderen Fällen.
Der Februar ist eine dieser seltenen Situationen für einen schwerwiegenden Fehler auf Kernel-Ebene, der zum Zeitpunkt der Veröffentlichung des Bulletins noch aktiv ausgenutzt wurde. „Es gibt Hinweise darauf, dass CVE-2024-53104 möglicherweise einer begrenzten, gezielten Ausnutzung unterliegt“, heißt es in der Versionsmitteilung .
Der Fehler wurde zuerst von Experten von Amnesty International gemeldet, die ihn als „out-of-bound write in the USB Video Class (UVC) Driver“ beschreiben. Da es sich um einen Exploit auf Kernel-Ebene handelt, fügen die Forscher hinzu, dass mehr als eine Milliarde Android-Geräte davon betroffen sind, unabhängig von der Marke.
Da es sich um einen Zero-Day-Exploit handelt, wissen nur die Angreifer von seiner Existenz, es sei denn, Sicherheitsexperten spüren seine Anwesenheit, entwickeln mit dem Team der Plattform einen Fix und veröffentlichen ihn dann allgemein für alle betroffenen Geräte. Zwei weitere Schwachstellen, CVE-2024-53197 und CVE-2024-50302, wurden auf Kernel-Ebene behoben, auf Betriebssystemebene jedoch noch nicht vollständig von Google gepatcht
Der Wirkungspool ist riesig
Der Pool der betroffenen Geräte ist das Android-Ökosystem, während der Angriffsvektor eine USB-Schnittstelle ist. Konkret geht es um Zero-Day-Exploits in den USB-Treibern des Linux-Kernels, die es einem Angreifer ermöglichen, den Sperrbildschirmschutz zu umgehen und sich über eine USB-Verbindung tiefgreifenden privilegierten Zugriff auf ein Telefon zu verschaffen.
In diesem Fall wurde Berichten zufolge ein von Cellebrite angebotenes Tool verwendet, um das Telefon eines serbischen Studentenaktivisten zu entsperren und Zugriff auf die darauf gespeicherten Daten zu erhalten. Konkret wurde ein Cellebrite UFED-Kit von Polizeibeamten auf dem Telefon des studentischen Aktivisten eingesetzt, ohne ihn darüber zu informieren oder seine ausdrückliche Zustimmung einzuholen.
Amnesty sagt, dass die Verwendung eines Tools wie Cellebrite – das missbraucht wurde, um Journalisten und Aktivisten in großem Umfang anzusprechen – nicht gesetzlich sanktioniert wurde. Bei dem fraglichen Telefon handelte es sich um ein Samsung Galaxy A32, während das Cellebrite-Gerät seinen Sperrbildschirm-Schutz durchbrechen und Root-Zugriff erhalten konnte.
„Android-Anbieter müssen dringend defensive Sicherheitsfunktionen stärken, um Bedrohungen durch nicht vertrauenswürdige USB-Verbindungen bis hin zu gesperrten Geräten abzuschwächen“, heißt es in dem Bericht von Amnesty. Es wird nicht das erste Mal sein, dass der Name Cellebrite in den Nachrichten auftaucht.
Das Unternehmen verkauft seine forensischen Analysetools an Strafverfolgungs- und Bundesbehörden in den USA und mehreren anderen Ländern und ermöglicht ihnen, mit brutaler Gewalt in Geräte einzudringen und kritische Informationen zu extrahieren.
Im Jahr 2019 behauptete Cellebrite, dass es mit seinem Universal Forensic Extraction Device jedes Android- oder Apple-Gerät entsperren könne. Es hat jedoch auch ethische Bedenken und Datenschutzbedenken hinsichtlich der unfairen Nutzung durch Behörden zur Überwachung, Belästigung und gezielten Verfolgung von Whistleblowern, Journalisten und Aktivisten geweckt.
Vor einigen Monaten hat Apple mit dem iOS 18.1-Update auch stillschweigend die Sicherheitsprotokolle verschärft , mit der Absicht, unbefugten Zugriff auf gesperrte Smartphones zu blockieren und die Ausschleusung sensibler Informationen zu verhindern.