Im Sommer 2022 machte sich der Cybersicherheitsexperte David Schütz nach einem langen Tag außerhalb auf den Weg nach Hause. Bereits auf der Fahrt wurde die Akkuladung seines Google Pixel 6 immer geringer, und endlich Zuhause angekommen, hatte sich sein Smartphone bis auf 1 % entladen. Wie es der Zufall so wollte, schaltete sich das Handy genau beim Schreiben einer Nachricht plötzlich aus. Also schloss Schütz sein Gerät am Ladegerät an, schaltete es wieder ein und wurde zur Eingabe seiner SIM-PIN aufgefordert. Nach den Strapazen der langen Reise war David so erschöpft, dass er dreimal die falsche PIN eingab, was die Eingabe einer weiteren Geheimzahl, der PUK-Nummer, zur Folge hatte. Nach erfolgreicher Eingabe wurde er dann darum gebeten, das Smartphone mit seinem Fingerabdruck zu entsperren. Doch nachdem der Fingerabdruck erkannt wurde, hängte es sich plötzlich auf.
Jeder andere hätte diese seltsamen Vorkommnisse wahrscheinlich auf irgendeinen Softwarefehler geschoben, das Handy neu gestartet und ganz normal weitergemacht, als wäre nichts gewesen. Aber David, ein Forscher mit einem guten Gespür für seltsam reagierende Software und Geräte, beschloss, der Frage, warum sein Smartphone nach einem weiteren Neustart plötzlich keinen Code zur Entsperrung mehr forderte, auf den Grund zu gehen. Nach mehreren erfolglosen Versuchen erkannte David, dass ein Neustart in diesem Fall völlig unnötig war. Man nehme ein gesperrtes Smartphone, entferne die SIM-Karte, lege sie wieder ein, gebe dreimal einen falschen PIN-Code ein, gebe den PUK-Code ein… Und was passiert? Der Sperrbildschirm des Smartphones kann komplett umgangen werden! Schütz hat die Entdeckung auf seinem Blog ausführlich beschrieben, doch wenn Sie denken, dass Google das Problem schnell behoben hätte, dann irren Sie sich gewaltig. Diese Sicherheitslücke bedrohte fast ein halbes Jahr lang – von Juni bis November – eine große Anzahl von Smartphones mit Android (Versionen 11 bis 13)!
Praktische Demonstration der Umgehung des Sperrbildschirms mithilfe einer SIM-Karte.
Wie bitte?!
Die Sicherheitslücke ermöglicht es Außenstehenden, den Sperrbildschirm zu umgehen und auf alle Daten des Handys zuzugreifen, ohne den Geheimcode zu kennen. Und dazu ist überhaupt kein ausgeklügelter Angriffsmechanismus erforderlich. Es ist nicht nötig, externe Geräte an das Smartphone anzuschließen oder nach neuen Sicherheitslücken in der Software zu suchen. Man nimmt einfach die SIM-Karte heraus und legt sie wieder ein (der Angreifer kann dazu selbstverständlich seine eigene verwenden), gibt dreimal eine falsche PIN ein, gibt den PUK-Code ein, ändert die PIN – und schon hat man Zugriff auf das Smartphone. Die einzige Bedingung ist, dass das Telefon eingeschaltet sein muss und zuvor mindestens einmal vom Besitzer entsperrt wurde.
Die anfällige Software befindet sich in dem frei zugänglichen Teil von Android – wo jeder den Quellcode einsehen kann. So konnten wir herausfinden, wie ein so simpler Bug überhaupt entstehen konnte. Android-Smartphones haben mehrere Sperrbildschirme, darunter auch der Bildschirm für die Eingabe einer Geheimzahl, die Aufforderung zur Entsperrung via Fingerabdruck sowie ein Fenster für die Eingabe des SIM-PIN-Codes. Wenn eine der Überprüfungen erfolgreich bestanden ist, wird normalerweise der nächste Sperrbildschirm angezeigt. Das ganze System funktionierte einwandfrei, mit Ausnahme des Sperrbildschirms zur PUK-Eingabe. Diese letztere führte dazu, dass die Funktion „Sperrbildschirm überspringen“ zweimal aufgerufen wurde. Und anstatt den Bildschirm zur Freigabe per Fingerabdruck anzuzeigen, wurde das Telefon entsperrt. Das Problem wurde durch einige größere Änderungen des Android-Codes behoben, die dazu führten, dass nun jeder Sperrbildschirm unabhängig gesteuert werden kann.
Bürokratie vs. Sicherheit
Warum hat es also fast sechs Monate gedauert, diese schwerwiegende Sicherheitslücke zu schließen? Schütz reichte eine Beschreibung der Sicherheitslücke über den Bug Bounty Service von Google ein. Den Programmrichtlinien zufolge kann eine entdeckte Sicherheitslücke zur Umgehung des Sperrbildschirms auf mehreren (oder sogar allen) Geräten dem Forscher bis zu 100.000 US-Dollar einbringen. Doch statt Geld erhielt David wochenlanges Schweigen, und dann… wurde seine Entdeckung als Duplikat abgestempelt – jemand anderes hatte Google angeblich bereits über die Sicherheitslücke informiert.
David hatte sich bereits mit dem Verzicht auf eine wohlverdiente Belohnung abgefunden. Als der September näher rückte (drei Monate nach seiner Berichterstattung), war er zuversichtlich, dass der nächste Patch die Schwachstelle beheben würde. Aber nein. Auch nach der Installation des September-Updates konnte er sein Handy weiterhin mit dem SIM-Karten-Trick entsperren. Zufälligerweise fand im September eine Google-Veranstaltung für Sicherheitsforscher statt. Dort nutzte David die Gelegenheit und zeigte den Entwicklern des Unternehmens den Bug persönlich. Erst in diesem Moment ging den Entwicklern ein Licht auf und die Schwachstelle wurde im Rahmen des November-Updates von Android gepatcht.
Selbst wenn jemand die Sicherheitslücke bereits vor ihm gemeldet hätte, hat Google gekonnt nicht darauf reagiert. Auch auf Davids Nachricht im Juni 2022 gab es keine Antwort. Erst ein persönliches Gespräch mit den Entwicklern führte zur Schließung der Sicherheitslücke. Am Ende erhielt Schutz für seine Bemühungen eine Belohnung in Höhe von 70.000 US-Dollar.
Der Preis der Sicherheit
Als Smartphone-Nutzer erwarten wir, dass zumindest kritische Fehler von den Entwicklern mit Priorität behandelt und schnell geschlossen werden. Die hier erzählte Geschichte zeigt jedoch, dass dies nicht immer der Fall ist. Und dabei fing alles gut an: Die Schwachstelle wurde glücklicherweise von einem White-Hat-Forscher entdeckt, der sie nicht im Darknet verkaufte, wo sie für schändliche Zwecke hätte genutzt werden können, sondern stattdessen das Unternehmen über sie informierte. Google hätte die Lücke lediglich umgehend schließen müssen, doch an dieser Stelle gab es ganz offensichtlich Probleme. Für Unternehmen, die im Rahmen von Bug-Bounty-Programmen mit externen Sicherheitsexperten zusammenarbeiten, regt dies zum Nachdenken an: Werden intern überhaupt genügend Ressourcen bereitgestellt, um Bugs rechtzeitig zu beheben?