Qualcomm Android Sicherheitslücke
Frank Guthausen
fg-fsfe.2014 at datenschutzraum.org
Di Aug 9 14:11:50 UTC 2016
Hallo.
Gestern hat es eine Sicherheitslücke bei Android ins TV geschafft,
welche Geräte mit Qualcomm Chipsatz für LTE betrifft. Zunächst die
Presse dazu:
08.08.2016 10:52
QuadRooter: Verwundbare LTE-Chips sollen über 900 Millionen Android-Geräte gefährden
http://www.heise.de/newsticker/meldung/QuadRooter-Verwundbare-LTE-Chips-sollen-ueber-900-Millionen-Android-Geraete-gefaehrden-3289647.html
8.8.2016, 11:46
Qualcomm-Schwachstelle bedroht 900 Millionen Android-Geräte
http://www.golem.de/news/quadrooter-qualcomm-schwachstelle-gefaehrdet-900-000-android-geraete-1608-122564.html
08.08.2016 15:03
Software-Fehler: Mehrere Sicherheitslücken in fast einer Milliarde Android-Geräten
http://www.spiegel.de/netzwelt/gadgets/android-sicherheitsluecken-bedrohen-offenbar-mehr-als-900-millionen-geraete-a-1106275.html
Originalquelle:
QuadRooter: New Android Vulnerabilities in Over 900 Million Devices
http://blog.checkpoint.com/2016/08/07/quadrooter/
Durch die Berichte im TV wurden auch Nicht-ITler damit konfrontiert, was
bei mir zu Nachfragen führte. Ich habe in diesem Zusammenhang versucht,
mein eigenes Gerät zu überprüfen.
1)
Es gibt verschiedene ähnliche Versionen von Geräten, die unter gleicher
oder fast gleicher Bezeichnung vertrieben werden. Die Bezeichnungsweise
ist sehr kreativ, vermutlich marktorientiert, und technisch oft wirr und
undurchsichtig. Ohne Suchmaschine ist ein Überblick selbst auf der Seite
eines Herstellers kaum zu finden - oder ich bin einfach zu blöd.
2)
Es gibt sehr viele "Datenblätter" im Internet. Einige beziehen sich auf
eine ähnliche Version des Geräts, andere auf eine alte Version, wieder
andere sind schlicht falsch.
3)
Einige Quellen geben bei der Grafik für das Smartphone den Chipsatz an.
Ich habe jedoch kein Datenblatt gefunden, welches mir den Chipsatz für
LTE angegeben hat. Durch "Aktenstudium" konnte ich nicht ermitteln, ob
ich betroffen bin. Das war sehr ernüchternd. Es gab mal eine Zeit, da
wurden elektrische/elektronische Geräte mit Schaltplan ausgeliefert.
Man kann an dieser Stelle mal über Nachhaltigkeit nachdenken.
4)
Es gibt vom Entdecker der Schwachstelle (Check Point) eine App, mit
der man sein Gerät testen kann. Diese App wird über den Google Play
Store verteilt:
https://play.google.com/store/apps/details?id=com.checkpoint.quadrooter
Zur Benutzung muss man sich zunächst bei Google registrieren.
Ich registriere mich seit Jahren nicht bei Google, nur um mein
Mobiltelefon benutzen zu können. Das hat etwas mit Datenschutz
zu tun. Google trackt schon genug, und das Zusammenführen von
verschiedenen Informationen macht Google IMHO gefährlicher als
die NSA. Ein alternativer massentauglicher Weg, Software Apps
auf das Gerät zu kriegen, fehlt. Kann das Absicht sein? Es ist
nicht hilfreich, auf Konstrukte wie MTP zu verweisen. Das ist
völlig wirr, langsam, funktioniert nur eingeschränkt, und dann
fehlt immer noch die App, die (vermutlich) vom Hersteller erst
gar nicht als Download außerhalb von Google angeboten wird.
Unter welcher Lizenz steht die eigentlich?
5)
Irgendwann wird das Problem vielleicht behoben, Android rollt Updates
aus, vielleicht rollt dann irgendwann mein Gerätehersteller auch noch
Updates aus, und irgendwie vielleicht (oder auch nicht) kriege ich es.
6) Fazit
Wie konnte es überhaupt zu so einer Situation kommen? Es geht hier
deutlich klar um Freiheit. Die Geräte sind schon so hergestellt,
dass sie sich meinem Zugriff weitgehend entziehen. Die Chipsätze
werden nicht mit Freier Software betrieben, und ich bin abhängig
vom Hersteller. Ein Gefährungstest erfordert, dass ich auf meinen
Datenschutz verzichte. Und die Informationen über das Gerät sind
seitens des Herstellers auch nicht offen gelegt. All das dient
nur dazu, mich als unmündigen Verbraucher zu kontrollieren und zu
gängeln, wo es nur geht. Damit ich mich dem nicht entziehe, wird
qualitativ minderwertiger Schrott ausgeliefert, für dessen Upgrade
ich auf meine Rechte verzichten muss. Ähnlich war es bei CPUs mit
Microcode Upgrade. Der Markt gibt es her, weil die Massen bereits
zu unmündigen Konsumenten konditioniert wurden. Statt Qualität zu
fordern gilt die Devise, Geiz ist geil. Der Geiz wird sehr teuer
bezahlt von allen Menschen und von der Gesellschaft insgesamt.
Und dieser Preis ist zu hoch - viel zu hoch.
Wo bleibt eigentlich die Revolution?
--
Gruss
Frank
Mehr Informationen über die Mailingliste FSFE-de