Seit einer Woche wird das Android-Sicherheitsupdate für Februar ausgerollt und stopft wieder mehrere Dutzend Sicherheitslücken im Betriebssystem und systemnahen Komponenten. Jetzt haben Sicherheitsforscher eine Lücke öffentlich gemacht, die es einem Angreifer erlaubt, per Bluetooth Schadcode auf beliebigen Smartphones einzuschleusen und auszuführen. Mit dem Februar-Sicherheitsupdate wird die Lücke auf einigen Smartphones behoben. Aber längst nicht auf allen.
Google veröffentlicht jeden Monat ein neues Sicherheitsupdate, das in den folgenden Tagen auf allen Pixel-Smartphones ankommt und diese somit wieder auf den neuesten Stand bringt. Die meisten anderen Smartphone-Hersteller sehen das allerdings weniger eng und liefern nicht in jedem Monat Sicherheitsupdates – und dann häufig auch noch unvollständig. Das größere Problem sind aber die zahlreich älteren Smartphones, die nicht mehr aktualisiert werden.
Pixel Repair Tool: Google ermöglicht Update-Installation für Pixel-Smartphones nun direkt über den Browser
Mit dem Februar-Sicherheitsupdate stopft Google eine Sicherheitslücke in der Bluetooth-Komponente, die nun von den Entdeckern etwas näher beschrieben wird. Bereits im November 2019 haben die Sicherheitsforscher von ERNW Insinuator ein mögliches Einfallstor entdeckt, mit dem sich zu einem beliebigen Smartphone eine Bluetooth-Verbindung aufbauen, Schadcode übertragen und auch ausführen lässt. Und das alles ohne dass der Nutzer es überhaupt bemerkt oder darüber informiert wird.
Diese Bluetooth-Sicherheitslücke wurde in Android 8.0 Oreo und Android 9 Pie entdeckt und demonstriert, sodass Google sie nun mit dem Februar-Sicherheitsupdate geschlossen hat – es hat also gut drei Monate gedauert, bis Google das Problem beheben konnte oder wollte. Glücklicherweise haben die Entdecker die Lücke erst jetzt öffentlich gemacht bzw. darüber informiert. Weitere technische Details sollen erst dann folgen, wenn die Lücke im Rahmen des Updates auf vielen Smartphones gestopft ist.
Android 10 war nicht betroffen, denn auch wenn das Betriebssystem prinzipiell anfällig wäre, stürzt der Bluetooth Daemon auf dem angegriffenen Smartphone einfach ab und macht somit auch den Angriff zunichte. Ob auch ältere Android-Versionen betroffen sind, wurde nicht untersucht.
Google Drive: Backups vom Android-Smartphone werden verschoben – so findet ihr sie (Screenshots)
So könnt ihr euch schützen
Der Bluetooth-Angriff setzt lediglich voraus, dass das Opfer Bluetooth auf dem Smartphone aktiviert hat, was vor allem aufgrund kabelloser Kopfhörer oder auch Smartwatches und anderen Wearables sehr häufig der Fall ist. Ist dieses Tor geöffnet, kann der Angreifer nach Kenntnis der Bluetooth MAC-Adresse beliebige Daten versenden und auch ausführen, womit gewissermaßen die Kontrolle über das Smartphone des Opfers übernommen werden kann. In welchem Umfang das möglich ist, wurde nicht detailliert beschrieben.
Die Sicherheitsforscher raten allen Nutzern mit betroffenen Betriebssystemen (also eigentlich alle ohne Android 10 und ohne aktuellen Februar-Sicherheitspatch) dazu, Bluetooth vollständig auszuschalten bzw. es vorerst nicht in der Öffentlichkeit zu nutzen. Sie weisen darauf hin, dass viele Bluetooth-Kopfhörer als Backup auch per Kabel mit dem Smartphone verbunden werden können.
Als zweite Lösung, die vermutlich komfortabler ist, soll man einfach deaktivieren, dass das Smartphone von anderen Geräten gefunden werden kann. Ist dies deaktiviert, hat der Angreifer praktisch keine Chance, ohne exakte Kenntnis der Bluetooth-Adresse eine Verbindung aufzubauen. Dabei weisen die Forscher darauf hin, dass das bei einigen älteren Geräten nicht funktioniert und diese dennoch ständig auffindbar sind.