Der Sicherheitsforscher David Schütz hat eine schwerwiegende Lücke in Googles Smartphone-Betriebssystem Android gefunden. Diese erlaubt es Angreifern den Sperrbildschirm von Pixel-Smartphones trotz aktuellstem Patch vollständig zu umgehen. Google hat dazu bereits Kenntnis genommen und angekündigt, im kommenden Sicherheitspatch für November diese kritische Sicherheitslücke zu beheben. Es ist jedoch wahrscheinlich, dass noch weitere Smartphones mit Android betroffen sind. Die Lücke macht deutlich, dass es durchaus wichtig ist, immer die aktuellsten Updates zu installieren.
Entdeckung und Funktionsweise
Das Ausnutzen der Lücke, welche Zugriff auf alle Inhalte des Geräts gewährt, ist sehr einfach und kann von jedem bewerkstelligt werden. Hierzu muss der Angreifer lediglich das Smartphone in den Händen halten und die SIM-Karte wechseln. Beim Wechsel wird er dazu aufgefordert, die PIN der neu eingelegten SIM-Karte einzugeben. Diese muss nun dreimal falsch eingegeben werden. Anschließend verlangt Android nach der Sim-PUK. Wird diese dann korrekt eingegeben, entsperrt sich das Gerät.
Die Sicherheitslücke betrifft die Android-Versionen 10, 11, 12 & 13 und wird durch den 07. November-Sicherheitspatch geschlossen.
Zurückzuführen ist die Lücke auf die Umgangsweise mit Sicherheitsebenen durch Android selbst. Dadurch wird der nächste Sicherheitsbildschirm im Stack, nämlich der Schlüsselwächter, gefolgt von dem Bildschirm, der sich als nächstes in der Warteschlange befindet, verworfen.
Gekennzeichnet wurde die Sicherheitslücke mit der eindeutigen CVE-ID: CVE-2022-20465. Bei der CVE-Bezeichnung handelt es sich um eine international anerkannte Bezeichnung für Sicherheitslücken und kritische IT-Infrastruktur-Fehlern mit großer Relevanz. Hierbei steht die erste Zahl für das Jahr und die letzte dient als eindeutige Zuordnung.
Der CVSS-Score gibt die Schwere der Sicherheitslücke an, hier kann ein Maximalwert von zehn erreicht werden.
Gefunden hat David Schütz die Lücke zufällig, als sich sein Pixel-Smartphone wegen mangelnder Akkukapazität ausschaltete. Da er die PIN nicht mehr wusste, griff er auf die PUK zurück, wodurch ihm die Lücke auffiel. Im Rahmen von Googles Bug Bounty Programm hat er den Fund gemeldet und bekam eine Belohnung von 70.000$ ausgezahlt.
Was kann ich tun?
Google hat bereits den 07. November-Sicherheitspatch für alle noch unterstützen Pixel-Smartphones veröffentlicht. Jedoch haben noch nicht alle Nutzer den Patch angeboten bekommen, da auch dieser in Wellen verteilt wird. Auch sollten Nutzer von Samsung, Oppo, Xiaomi und Co. regelmäßig nach Updates prüfen, da diese die Patches oft erst nach den hauseigenen Smartphones von Google erhalten. Ihr solltet also prüfen, ob euer Handy auf den neusten Stand ist und alle ausstehenden Updates dringlichst installieren.
