Gefährliche Hintertür in Google Pixel oder nur gezielte Panikmache?

Es steht außer Frage, dass Google seine Pixel-Smartphones seit dem Jahr 2017 mit einer inaktiven Fernwartungssoftware des US-amerikanischen Mobilfunkanbieters Verizon, welche ihre Konfigurationsdatei ungesichert per HTTP von einer AWS-Domain herunterlädt, ausliefert. Doch das warnende Sicherheitsunternehmen iVerify handelt im Auftrag seines Kunden Palantir, was einige Fragen aufwirft.

Das Problem mit den Dritten
Fakt ist, dass Google in Android auch Drittanbieter-Software integriert. Insbesondere die Mobilfunkanbieter haben immer wieder Sonderwünsche, welche mitunter in der Firmware aller Smartphones landen. Das Mobile Device Management (MDM), beispielsweise auf Grundlage des Protokolls OMA-DM (Open Mobile Alliance Device Management), dient zur Gerätekonfiguration, zum Einspielen von Updates sowie zur Fehleranalyse. Einige Anbieter wie der ebenfalls US-amerikanische Mobilfunkanbieter Sprint nutzten MDM schon seit Jahren, um für eigene Dienste zu werben. Und davon sind neben Android-basierten Telefonen auch iPhones betroffen. Zumeist backt sich der Mobilfunkanbieter allerdings sein eigenes Firmwarebrötchen, weshalb sich solche Zusatzfunktionen auf die Geräte dieses Anbieters beschränken.

Ein obsoleter Demomodus
Im konkreten Fall war das anders. Verizon wollte die Pixel-Telefone in seinen Filialen vorführen und realisierte diese Demonstrationen über besagte Fernwartungssoftware. Irgend jemand bei Google hielt es damals für eine gute Idee, diese als privilegierte App (Showcase.apk) in die Pixel-Firmware zu integrieren. Inzwischen wird die App von Verizon nicht mehr genutzt und ist standardmäßig inaktiv. Da das Problem des veralteten Softwaremülls genauso konsequent ignoriert wird wie der Weltraumschrott, liefert Google die Showcase.apk jedoch bis heute mit aus, weshalb es auch weiterhin möglich ist, diese App zu reaktivieren. Und da sie ihre Konfiguration ungeschützt über HTTP bezieht, könnte man ihr recht einfach Schadcode unterschieben. Alles, was man hierfür benötigt, ist Zugriff auf das Gerät sowie das Passwort.

Google zieht sich aus der Verantwortung
Dies wirft einige Fragen hinsichtlich Googles Umgang mit Drittanbieter-Software auf, die in diesem Fall als privilegierte App mit Systemrechten läuft und sich vor dem Benutzer versteckt. Prüft Google die Sicherheit von Drittanbieter-Apps? Vermutlich nicht, denn sonst hätte der unverschlüsselte HTTP-Zugriff auffallen müssen. Gegenüber Forbes hat Google auch jegliche Verantwortung für solche Drittanbieter-Apps abgelehnt. Analog dazu könnte ein PKW-Hersteller jegliche Verantwortung für die Funktion der von einem Zulieferer stammenden Bremsen von sich zu weisen. Die zweite Frage lautet: Kümmert sich Google zumindest um nicht mehr benötigte und nicht mehr gewartete Altlasten? Auch hier lautet die Antwort leider nein. Reagiert wird erst, wenn das Kind schon in den Brunnen gefallen ist.

Neue Lücke oder alter Hut?
Somit hat iVerify ein valides Argument: Es ist eine Sicherheitslücke und sie steckt in der von Google ausgelieferten Pixel-Firmware, weshalb sie theoretisch auch alle Pixel-Nutzer betrifft und Google in der Verantwortung steht. Andererseits ist diese Erkenntnis nicht neu, denn auf Sicherheit optimierte Android-Derivate wie GrapheneOS untersuchen solche Drittanbieter-Apps seit Jahren und werfen konsequent alles raus, was nicht unbedingt benötigt wird. In einer Stellungnahme auf grapheneos.social lassen die Verantwortlichen daher auch kein gutes Haar an iVerify, deren angeblicher Entdeckung und dem hinter iVerify stehenden Auftraggeber Palantir Technologies.

Palantir setzt auf Apple
Palantir entwickelt Software zur Datenverarbeitung und -auswertung. Ob Massenüberwachung oder Kriminalitätsbekämpfung mit Hilfe statistischer Hellseherei, Palantir ist überall dort mit seinen Produkten vertreten, wo Staaten und Wirtschaftsunternehmen hohe Millionenbeträge zur Verfügung stellen. Und da Daten aus Behörden, dem Gesundheitswesen und der Finanzbranche als äußerst sensibel zu betrachten sind, müssen Unternehmen wie Palantir, ob man sie nun mag oder nicht, auch möglichst sichere Geräte verwenden. Durch diese bei iVerify beauftragte Sicherheitsprüfung sind die Pixel-Telefone nun durchgefallen und laut iVerify plant Palantir, alle von der Firma genutzten Android-Geräte gegen Modelle des Mitbewerbers Apple auszutauschen. Das klingt allerdings mehr nach einer PR-Maßnahme, da Sicherheit durch Obskurität keine wirkliche Sicherheit ist. Sinnvoller wäre es, eine gehärtete Android-Variante einzusetzen. Und eigentlich hätten wir von einem Unternehmen wie Palantir erwartet, dass der Einsatz gehärteter Geräte dort schon lange Standard sei.