Ein Linux Zero-Day wurde nach einem halben Jahrzehnt mit Hilfe von Google gepatcht
Die Threat Analysis Group von Google enthüllte heute neue Details über ihre Bemühungen, eine Zero-Day-Sicherheitslücke zu identifizieren und zu schließen, die Android-Geräte eines kommerziellen Überwachungsanbieters betrifft und mindestens bis 2016 zurückreicht. Die auf der Cybersecurity-Konferenz Black Hat in Las Vegas vorgestellten Forschungsergebnisse sind der jüngste Versuch von Google, seine Bemühungen gegen die wachsende private Überwachungsindustrie zu verstärken, die nach Angaben der Forscher floriert.
Bei der fraglichen Schwachstelle mit der Bezeichnung CVE-2021-0920 handelt es sich um eine Zero-Day-Schwachstelle in einem Garbage-Collection-Mechanismus im Linux-Kernel, dem Kernstück der Software, die das gesamte Linux-Betriebssystem steuert. Laut Google konnten die Angreifer mithilfe einer Exploit-Kette, die die Schwachstelle enthielt, die Kontrolle über die Geräte der Nutzer aus der Ferne erlangen.
Google sagt, dass es zuvor eine Reihe von Android-Zero-Day-Exploits dem Entwickler hinter CVE-2021-0920 zugeschrieben hat. In diesem Fall sagte ein Google-Sprecher gegenüber TECH-ONE, dass der Überwachungsanbieter „mehrere neuartige und unbekannte Ausnutzungstechniken verwendet hat, um bestehende Abwehrmaßnahmen zu umgehen“. Das, so der Sprecher, lässt darauf schließen, dass der Anbieter gut finanziert ist.
Obwohl die Sicherheitslücke CVE-2021-0920 im September letzten Jahres als Reaktion auf Googles Forschung gepatcht wurde, heißt es, dass die Schwachstelle vor 2016 identifiziert und auf der Linux Kernel Mailing List gemeldet wurde. Ein geeigneter Patch wurde damals angeboten, aber die Entwickler der Linux Foundation lehnten ihn letztlich ab. Google teilte den öffentlichen Linux-Kernel-E-Mail-Thread aus dieser Zeit, der die Uneinigkeit darüber zeigt, ob der Patch implementiert werden sollte oder nicht.
„Warum sollte ich einen Patch anwenden, der ein RFC ist, der keine ordentliche Commit-Nachricht hat, dem eine ordentliche Abzeichnung fehlt und dem auch ACKs und Feedback von anderen sachkundigen Entwicklern fehlen“, schrieb ein Entwickler.
Google hat in den letzten Jahren seine Bemühungen verstärkt, Spyware-Gruppen aufzuspüren und öffentlich zu identifizieren, teilweise als Reaktion auf die schiere Zunahme der Zahl der Angriffe. In einer Stellungnahme vor dem Geheimdienstausschuss des Repräsentantenhauses sagte der Direktor der Google Threat Analysis Group, Shane Huntley, dass „das Wachstum von kommerziellen Spyware-Anbietern und Hack-for-Hire-Gruppen ein Wachstum der TAG [Threat Analysis Groups] erforderlich gemacht hat, um diesen Bedrohungen zu begegnen“.
Huntley sagte, dass die jüngsten Erkenntnisse seines Teams darauf hindeuten, dass es fortschrittlichen kommerziellen Spyware-Firmen wie der in Israel ansässigen NSO Group gelungen ist, sich Hacking-Fähigkeiten anzueignen, die früher nur den fortschrittlichsten staatlichen Geheimdiensten vorbehalten waren. Der Einsatz dieser Techniken, zu denen auch Zero-Click-Exploits gehören können, die ein Gerät übernehmen, ohne dass der Benutzer jemals mit bösartigen Inhalten in Berührung kommt, scheint zuzunehmen und wird auf Geheiß von Regierungen durchgeführt, so Huntley. Sieben der neun Zero-Day-Exploits, die Huntleys Team im vergangenen Jahr entdeckte, wurden Berichten zufolge von kommerziellen Anbietern entwickelt und an staatlich geförderte Akteure verkauft. Hochtechnische Überwachungstechniken, die früher nur einer ausgewählten Gruppe von Ländern zur Verfügung standen, können jetzt einfach vom Meistbietenden gekauft werden.
„Diese Anbieter ermöglichen die Verbreitung von gefährlichen Hacking-Tools und rüsten nationalstaatliche Akteure aus, die ansonsten nicht in der Lage wären, diese Fähigkeiten selbst zu entwickeln“, so Huntley. „Obwohl der Einsatz von Überwachungstechnologien nach nationalem oder internationalem Recht legal sein mag, werden sie von einigen staatlichen Akteuren zu Zwecken eingesetzt, die demokratischen Werten zuwiderlaufen: Sie zielen auf Dissidenten, Journalisten, Menschenrechtsaktivisten und Politiker der Oppositionsparteien.“
Für Dich empfohlen
You must be logged in to post a comment Login
Leave a Reply
Du musst angemeldet sein, um einen Kommentar abzugeben.
