Sicherheitslücke in Android-Implementierung von WiFi Direct ermöglicht DoS-Angriffe

Die US-Sicherheitsfirma Core Security hat eine Schwachstelle in Googles Mobilbetriebssystem Android entdeckt. Der Fehler steckt einem Advisory zufolge in der Implementierung von WiFi Direct, einer WLAN-Technik, die einen direkten Datenaustausch zwischen zwei Endgeräten wie beispielsweise Smartphones, Kameras und Druckern ermöglicht. Ein Angreifer könnte mithilfe eines speziell gestalten Probe Response Frame einen Absturz des Dalvik-Subsystems und damit einen Neustart des Geräts auslösen.

Nach Unternehmensangaben steckt der Bug in Android 4.1.2, 4.2.2 und 4.4.4. Getestet wurde er unter anderem mit dem Nexus 4 und Nexus 5 von Google sowie dem D806 von LG, dem SM-T310 von Samsung und Motorolas Razr HD. Andere Geräte seien wahrscheinlich auch betroffen, so Core Security weiter. In Android 5.0.1 und 5.0.2 hat Google das Problem allerdings behoben.

Google wurde dem Advisory zufolge schon im September über die Anfälligkeit informiert. Danach bekräftige das Android-Security-Team mehrfach, zuletzt am 20. Januar, es gebe keinen Zeitplan für die Entwicklung eines Patches, da Google das von der Schwachstelle ausgehende Risiko als gering einstufe. Daraufhin ging Core Security wie vorher gegenüber Google angekündigt nun mit den Details sowie Beispielcode für einen Exploit an die Öffentlichkeit.

Im Gespräch mit Threatpost bestätigte Jon Oberheide, Gründer des Sicherheitsunternehmens Duo Security, dass sich der Fehler tatsächlich nur unter bestimmten Voraussetzungen ausnutzen lässt. Ein anfälliges Smartphone oder Tablet müsse genau in dem Moment des Angriffs aktiv nach einem anderen WiFi-Direct-Gerät suchen. Um die manipulierten Daten senden zu können, müsse sich der Angreifer zudem in unmittelbarer Nähe seines Opfers aufhalten. Die einzige Folge sei außerdem ein Neustart.

Googles Project Zero hatte zuletzt ebenfalls mehrfach Sicherheitslücken in Produkten anderer Anbieter publik gemacht, nachdem es ihnen nicht gelungen war, in einem von Google vorgegeben Zeitrahmen von 90 Tagen einen Fix zu bereitzustellen. Microsoft kritisierte Googles Vorgehen scharf, weil es Details zu einer Windows-Lücke zwei Tage vor Microsofts Januar-Patchday veröffentlicht hatte – obwohl ihm bekannt war, dass Microsoft die Lücke zu diesem Termin schließen wird.

Zudem hatte Google am Wochenende bekräftigt, dass es keine Sicherheitsupdates mehr für die Browserkomponente WebView unter Android 4.3 und früher entwickelt. Da WebView nicht nur im namenlosen Android-Browser steckt, sondern auch von allen anderen Apps genutzt wird, die nicht über eine eigene Browsertechnik verfügen, ist nahezu jegliche Internetnutzung auf betroffenen Geräten mit einem Sicherheitsrisiko verbunden. Laut Googles eigener Statistik läuft Android 4.3 und früher derzeit auf rund 60 Prozent aller Geräte, die sich mit Googles Play Store verbinden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de