Qu1ckR00t: Beispielcode für Android-Zero-Day-Lücke veröffentlicht

Der US-Sicherheitsforscher Grant Hernandez hat Beispielcode für einen Qu1ckR00t genannten Exploit entwickelt und auf GitHub veröffentlicht, der die kürzlich von Google gemeldete Zero-Day-Lücke in Android ausnutzt. Im Gegensatz zum Proof-of-Concept (PoC) der Google-Mitarbeiterin Maddie Stone, die die Anfälligkeit entdeckte, ist Hernandez‘ Code in der Lage, einen Root-Zugang zu schaffen.

Bei der fraglichen Lücke mit der Kennung CVE-2019-2215 handelt es sich um einen Use-after-free-Bug im Kernel. Er lässt sich mithilfe einer schädlichen App oder in Verbindung mit einer Sicherheitslücke im Renderer-Prozess eines Browsers ausnutzen. Das davon ausgehende Sicherheitsrisiko stuft Google als hoch ein.

Anfällig sind jedoch nicht pauschal alle Android-Geräte. Google beschränkt die Liste beispielsweise auf Pixel und Pixel 2 beziehungsweise in Einzelfällen auf Android 9 und 10. So ist das Pixel 3 nicht angreifbar. Positiv getestet wurden hingegen auch Huawei P20, Xiaomi Redmi 5A und Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, alle LG-Smartphones mit Android 8.x Oreo sowie Samsung S7, S8 und S9. Google betonte Anfang des Monats, dass diese Liste nicht vollständig ist und lud Forscher ein, den vorhandenen Exploit-Code mit weiteren Geräten zu testen.

Der ursprünglich von Google entwickelte Beispielcode verschafft Angreifer einen Schreib- und Lesezugriff auf den Kernel. Hernandez‘ PoC über hingegen die Discretionary Access Control (DAC) und Linux Capabilities (CAP) und kann sogar SELinux (Security-Enhanced Linux), SECCOMP (Secure Computing Mode) und MAC (Mandatory Access Control) deaktivieren. Das wiederum gibt einem Angreifer die Möglichkeit, ein anfälliges Gerät zu rooten und die vollständige Kontrolle zu übernehmen.

Allerdings stellt Hernandez nur seinen Quellcode zur Verfügung. Ein Android-Installationsdatei im APK-Format liegt nicht vor. Nutzer müssen den Code zuerst kompilieren, um dann daraus eine App zu erstellen, die mit einem Klick einen Root-Zugang erstellen könnte. Dies soll beim Pixel 2 zusammen mit dem Tool Magisk sogar ohne OEM Unlock funktionieren.

Getestet wurde der Code dem Forscher zufolge bisher nur mit dem Pixel 2. Er rät davon ab, seinen Code mit anderen Geräten zu verwenden – sie könnten dadurch unbrauchbar werden.

Cyberkriminelle könnten den Exploit trotzdem nutzen, um daraus eine Schadsoftware zu entwickeln, die es erlauben würde, Android-Geräte dauerhaft mit Spyware, Trojanern oder Ransomware zu infizieren – und sich selbst Root-Zugriff zu verschaffen.

Der von Google inzwischen veröffentlichte Fix für die Zero-Day-Lücke ist übrigens in der Sicherheitspatch-Ebene 6. Oktober 2019 enthalten. Die aktuellen Updates beispielsweise von Samsung und LG erreichen jedoch nur die Sicherheitspatch-Ebene 1. Oktober. Ihre Geräte werden also erst mit den November-Patches vor Angriffen auf die Schwachstelle geschützt sein.