Vor sechs Monaten bot Google an, 200.000 Dollar an jeden Forscher zu zahlen, der sich aus der Ferne in ein Android-Gerät hacken konnte, indem er nur die Telefonnummer und E-Mail-Adresse des Opfers kannte. Niemand hat sich der Herausforderung gestellt. Das klingt zwar wie eine gute Nachricht und ein Beweis für die starke Sicherheit des mobilen Betriebssystems, aber das ist wahrscheinlich nicht der Grund, warum der Projekt-Zero-Preis-Wettbewerb des Unternehmens so wenig Beachtung fand.
Von Anfang an wurde darauf hingewiesen, dass 200.000 Dollar ein zu niedriger Preis für eine entfernte Exploit-Kette sind, die nicht auf Benutzerinteraktion angewiesen ist. „Wenn man dies tun könnte, könnte der Exploit an andere Unternehmen oder Körperschaften zu einem viel höheren Preis verkauft werden“, antwortete ein Nutzer auf die ursprüngliche Wettbewerbsankündigung im September. „Viele Käufer da draußen könnten mehr als diesen Preis zahlen; 200k nicht wert für das Finden der Nadel unter Heuhaufen,“ sagte ein anderer.
Google war gezwungen, dies anzuerkennen und stellte in einem Blog-Post in dieser Woche fest, dass „der Preisbetrag angesichts der Art von Fehlern, die für den Gewinn dieses Wettbewerbs erforderlich sind, zu niedrig gewesen sein könnte“. Andere Gründe, die nach Ansicht des Sicherheitsteams des Unternehmens zu mangelndem Interesse geführt haben könnten, sind die hohe Komplexität solcher Exploits und die Existenz konkurrierender Wettbewerbe, bei denen die Regeln weniger streng waren.
Um Root- oder Kernel-Privilegien auf Android zu erlangen und ein Gerät vollständig zu kompromittieren, müsste ein Angreifer mehrere Schwachstellen miteinander verketten. Zumindest benötigen sie einen Fehler, der es ihnen erlaubt, Code auf dem Gerät aus der Ferne auszuführen, beispielsweise im Kontext einer Anwendung, und dann eine Privilegien-Eskalations-Schwachstelle, um aus der Sandbox der Anwendung zu entkommen.
Nach den monatlichen Sicherheitsbulletins von Android zu urteilen, gibt es keinen Mangel an Schwachstellen bei der Privilegienerweiterung. Google wollte jedoch, dass die im Rahmen dieses Wettbewerbs eingereichten Exploits nicht auf irgendeine Form der Benutzerinteraktion angewiesen sind. Das bedeutet, dass die Angriffe funktionieren sollten, ohne dass Benutzer auf bösartige Links klicken, schurkische Websites besuchen, Dateien empfangen und öffnen und so weiter.
Diese Regel schränkte die Einstiegspunkte, die Forscher zum Angriff auf ein Gerät nutzen konnten, erheblich ein. Die erste Schwachstelle in der Kette hätte in den integrierten Messaging-Funktionen des Betriebssystems wie SMS oder MMS oder in der Basisband-Firmware liegen müssen – der Low-Level-Software, die das Modem des Telefons steuert und über das Mobilfunknetz angegriffen werden kann.
Eine Schwachstelle, die diese Kriterien erfüllt hätte, wurde 2015 in einer zentralen Android-Medienverarbeitungsbibliothek namens Stagefright entdeckt, wobei Forscher des mobilen Sicherheitsunternehmens Zimperium die Schwachstelle fanden. Der Fehler, der damals einen großen koordinierten Android-Patching-Aufwand auslöste, hätte ausgenutzt werden können, indem man einfach eine speziell angefertigte Mediendatei irgendwo auf dem Speicher des Geräts abgelegt hätte.
Eine Möglichkeit dazu bestand darin, eine Multimedia-Mitteilung (MMS) an die Zielbenutzer zu versenden und erforderte keine Interaktion ihrerseits. Allein der Empfang einer solchen Nachricht reichte für eine erfolgreiche Nutzung aus. Viele ähnliche Schwachstellen wurden inzwischen in Stagefright und anderen Android-Medienverarbeitungskomponenten gefunden, aber Google hat das Standardverhalten der integrierten Messaging-Anwendungen so geändert, dass MMS-Nachrichten nicht mehr automatisch abgerufen werden.
„Remote, ohne Unterstützung, Bugs sind selten und erfordern viel Kreativität und Raffinesse“, sagte Zuk Avraham, Gründer und Vorsitzender von Zimperium, per E-Mail. Sie sind viel mehr wert als 200.000 Dollar, sagte er.
Eine Exploit-Akquisitionsfirma namens Zerodium bietet auch 200.000 Dollar für entfernte Android-Jailbreaks, aber sie schränkt die Benutzerinteraktion nicht ein. Zerodium verkauft die von ihm erworbenen Exploits an seine Kunden, darunter auch an Strafverfolgungs- und Nachrichtendienste.
Warum sollte man sich also die Mühe machen, seltene Schwachstellen zu finden, um völlig ungestützte Angriffsketten aufzubauen, wenn man für weniger ausgeklügelte Exploits den gleichen Geldbetrag – oder sogar mehr auf dem Schwarzmarkt – erhalten kann?
„Insgesamt war dieser Wettbewerb eine Lernerfahrung, und wir hoffen, das, was wir gelernt haben, in die Belohnungsprogramme und zukünftigen Wettbewerbe von Google einzubringen“, sagte Natalie Silvanovich, ein Mitglied des Google Project Zero-Teams, in dem Blogbeitrag. Zu diesem Zweck erwartet das Team Kommentare und Vorschläge von Sicherheitsforschern, sagte sie.
Es ist erwähnenswert, dass Google trotz dieses offensichtlichen Misserfolgs ein Pionier der Fehlerprämien ist und im Laufe der Jahre einige der erfolgreichsten Sicherheitsprogramme für seine Software und Online-Dienste durchgeführt hat.
Es besteht kaum eine Chance, dass Anbieter jemals in der Lage sein werden, den gleichen Betrag an Geld für Exploits anzubieten wie kriminelle Organisationen, Geheimdienste oder Exploit-Broker. Letztendlich richten sich Bug-Bounty-Programme und Hacking-Wettbewerbe an Forscher, die eine Neigung zur verantwortungsvollen Offenlegung haben.