Exploit nutzt WebKit-Sicherheitslücke in Nintendo Switch

Die auch mobil einsetzbare Spielekonsole Nintendo Switch ist mit einer kritischen Sicherheitslücke in der Browser-Engine WebKit ausgeliefert worden, obwohl Apple diese bereits vor sechs Monaten behoben hatte. Ein ansonsten auf iOS-Jailbreaks spezialisierter Hacker hat den Beweis erbracht, dass die Konsole anfällig für einen WebKit-Exploit ist.

Der italienische Hacker Luca Todesco ist als @qwertyoruiopz bekannt und hatte dieselbe WebKit-Lücke schon für „JailbreakMe“ genutzt, ein Proof of Concept für Remotecodeausführung bei iOS 9. Da Nintendo nun mit seiner vor zwei Wochen eingeführten Konsole dieselbe Version der Browser-Engine einsetzt, musste er lediglich iOS-spezifischen Code aus JailbreakMe entfernen. Mit dem modifizierten Code konnte er den in Nintendo Switch integrierten, aber nicht für den Zugang zum Web gedachten Browser zum Zugriff auf Dateien zwingen, die auf einem lokalen Server vorgehalten wurden.

Eine aktuelle Gefährdung des Endnutzers entsteht damit noch nicht, zumal von der Switch-Plattform keine umfangreichen persönliche Daten zu holen sind, wie es etwa bei einem Smartphone oder Tablet der Fall ist. Die Konsole bietet dem Anwender auch keinen eigenständigen Webbrowser an, vielmehr ist WebKit nur für die Anmeldung an öffentlichen WLAN-Hotspots integriert.

Für Hacker eröffnet sich mit der erkannten und bewiesenen Schwachstelle jedoch ein Einstiegspunkt in das Nintendo-Switch-Betriebssystems. „Es ist nun möglich, sich das RAM anzusehen und ein wenig mehr über die Firmware des Geräts zu erfahren“, erläutert Wololo. „Diese Art von Exploit führt typischerweise zur möglichen Ausgabe von ein paar Bibliotheken, gefolgt von der Jagd nach einer Schwachstelle, die erhöhte Berechtigungen verschafft (im Prinzip ein Kernel-Exploit), was vollen Zugriff auf das Gerät gäbe.“ Der Entdecker des WebKit-Switch-Exploits sprach von einem „Ausgangspunkt“.

Die ausgenutzte Schwachstelle CVE-2016-4657 hatte sich schon einmal als Ausgangspunkt einer tatsächlich gefährlichen Angriffskette erwiesen, der das iPhone zum Opfer fiel. Die Angriffskaskade nutzte zuerst diese Lücke in der Safari-Engine WebKit und dann einen Fehler im Kernelschutz, um sodann eine Korruption des Kernelspeichers auszunutzen und das Mobiltelefon mit einem Jailbreak zu entsperren. Damit erlangte die Malware Rootrechte und konnte das Gerät vom Nutzer unbemerkt übernehmen.

Das ergab im letzten Herbst die Analyse der modularen iOS-Spyware Pegasus, die jahrelang von Staaten wie den Vereinigten Arabischen Emiraten (VAE) für Überwachungszwecke eingesetzt wurde. Bei ihr spielten drei zuvor unbekannte Schwachstellen eine Rolle, die als Trident-Sicherheitslücken bekannt wurden. Nach der Pegasus-Entdeckung behob Apple die eingesetzten Zero-Day-Lücken innerhalb von zehn Tagen mit der iOS-Version 9.3.5.