Google petzt gegen Google: GP0 findet Android Zeroday

Veröffentlicht Veröffentlicht in News

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html

Die Kehrseite der Monokultur? Zeroday-Inflation bei iOS

Veröffentlicht Veröffentlicht in Zeroday

Tief sind die Gräben zwischen Apple-Fanboys/-girls und Android-Jüngern schon immer gewesen. Speziell in Bezug auf Security hatten jedoch die Geräte aus Cupertino bei der Mehrheit der Experten die Nase vorn. Klar, der „Walled Garden“ von Apple hat Nachteile, ebenso das Quasimonopol auf den Geräteverkauf, aber dafür ist das Ökosystem leichter „sauber“ zu halten als Googles Zoo von Versionen auf Geräten von zig Herstellern. Auch wenn die Android-Security in letzter Zeit deutlich aufgeholt hat: Sollte es besonders sicher sein (aber nicht allzu exotisch), waren für viele Organisationen iPhone und iPad die Smart Devices der Wahl – zumal beim Thema Datenschutz aufgrund der unterschiedlichen Geschäftsmodelle die Krake Google deutlich schlechter abschneidet – zumindest heute noch. iPhones galten vielen als kaum zu hacken, seltene Zeroday-Exploits waren Millionen wert.

Das Bild hat sich in den letzten Wochen etwas geändert. Nachdem ausgerechnet Google aufgefallen war, dass eine Reihe von Seiten, die besonders von der politisch unterdrückten Gruppe der Uiguren in China frequentiert werden, ungewöhnliche Malware enthielt, nahmen sich Mitglieder von Googles Project Zero diese einmal genauer vor – und wurden spektakulär fündig. Nicht ein hochwertiger Zeroday wurde da auf eine relativ kleine Gruppe von Dissidenten losgelassen, sondern gleich fünf verschiedene, meisterartig gemachte, die auf dem grauen Markt jeweils Millionenbeträge erzielt haben dürften.

Es scheint also ein Akteur am Werk, bei dem Geld eine geringe Rolle spielt. Und scheinbar sind auch beim Qualitätsprodukt iOS kritische Schwachstellen doch leichter zu finden als bisher gedacht. Das verändert das ganze ökonomische Denken über Bedrohungen – und lässt Google vergleichsweise etwas besser dastehen, obwohl später herauskam, dass Android-Exploits ebenfalls im Einsatz waren.

Den Preisen für iOS-Zerodays hat das Ganze übrigens keinen Abbruch getan. Allerdings haben führende Schwachstellenverkäufer ihre Einkaufspreise für Android-Zerodays angehoben, sodass diese inzwischen über den Preisen für iOS-Exploits liegen. Denn es ist schwieriger, einen Exploit zu finden bzw. zu bauen, der über eine große Bandbreite von Android-Versionen und Varianten verlässlich funktioniert. Apple wird sich überlegen müssen, wie die hier zum Vorschein kommende Kehrseite der leichter managebaren Monokultur eingehegt werden kann.

https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Wild Thing, You Make My Heart Sing: 0days „in the wild“

Veröffentlicht Veröffentlicht in Zeroday

Googles Project Zero (GP0) verfolgt seit der Gründung vor fünf Jahren intensiv die Entwicklungen und Entdeckungsprozesse im Bereich Schwachstellen. Das erklärte Ziel der Gruppe ist die Bekämpfung von „Zero Days“: Schwachstellen, die bekannt werden, ohne dass für sie bereits ein Patch besteht. Daher sind diejenigen Fälle von besonderem Interesse, bei denen Angreifer es geschafft haben, 0days „in the wild“, in freier Wildbahn tatsächlich auszunutzen. Diese Liste – quasi des eigenen „Scheiterns“ bzw. der eigenen Unvollkommenheit – hat GP0 nun veröffentlicht, mit allen „in the wild“ ausgenutzten 0days seit 2014. Soweit bekannt natürlich; die Dunkelziffer wäre hier zweifellos noch interessanter. Auffällig ist, dass die Anzahl der jährlichen Einträge seit 2015 kontinuierlich zurückgeht – bis auf 2019, wo wir mit 10 Einträgen schon jetzt fast auf dem Jahresniveau von 2018 sind. Die Kategorisierung der Schwachstellen wiederum deutet auf ein Versagen der IT-Branche insgesamt hin: Memory Corruption, die zusammen mit Use-after-Free den Löwenanteil der Exploits ermöglicht, sollte heutzutage nicht mehr vorkommen … eigentlich.

https://googleprojectzero.blogspot.com/p/0day.html