Spectre und Meltdown: Das müssen Smartphone-Nutzer beachten

Selten war der Begriff GAU ("größter anzunehmender Unfall") so zutreffend wie für Meltdown und Spectre: Als Anfang Januar bekannt wurde, dass Sicherheitsforscher von Google, der Universität Graz und anderen Institutionen schwerwiegende Sicherheitslücken in modernen Prozessoren gefunden haben, wurde schnell klar:

Von Spectre und Meltdown sind fast alle modernen IT-Systeme und Endgeräte betroffen – vor allem in der gehobenen Leistungsklasse. Dies gilt neben PCs, Notebooks und Servern unter Windows, Mac OS oder Linux auch für viele Smartphones und Tablets unter Android und iOS.

Lücke steckt tief in den Chips

Kritisch ist die Entdeckung von Spectre und Meltdown vor allem, weil sie an den Kernfunktionen moderner Hochleistungs-Prozessoren ansetzt. Vereinfacht dargestellt führen die Chips in Wartezeiten Rechenoperationen auf Verdacht ("spekulativ") durch, um bei der späteren Programmausführung Zeit einzusparen.

Ob ihre Prognosen richtig waren oder nicht, hängt von späteren Verzweigungen in den Befehlsfolgen der Apps und Systemprogramme ab. Lag der Prozessor mit seiner Hochrechnung richtig, gewinnt er Zeit. Lag er falsch, verwirft er die Ergebnisse und führt stattdessen die tatsächlich erforderlichen Programmschritte aus.

Dieses Prinzip setzen viele Chips bereits seit 1995 ein. Die Mitte 2017 entdeckten Angriffsszenarien "Spectre" und "Meltdown" machen es sich zunutze und manipulieren den Prozessor so, dass er die Inhalte von Speicherbereichen auslesbar macht, die eigentlich durch System- und Benutzerrechte geschützt sein sollten.

Weil diese Angriffe auf Grundfunktionen moderner Prozessoren basieren und sich die Sicherheitsarchitekturen aller Betriebssysteme auf die nun aufgeweichten Abgrenzungen verlassen, sind die Konsequenzen von Spectre und Meltdown enorm: Schadsoftware, die diese Schwächen ausnutzt, kann Passwörter und andere geheime Daten aus dem Speicher des Systems auslesen.

Wie schon erwähnt, gilt dies prinzipell für alle Computer-, Cloud- und mobilen Betriebssysteme. Dass die Lücken über 20 Jahre unentdeckt blieben, liegt auch daran, dass die für die Angriffe erforderlichen Tools noch nicht lange verfügbar sind. Chip- und Betriebssystemhersteller wussten aber schon seit Mitte 2017 von den Gefahren.

Deshalb konnten sie nun schnell Updates und Sicherheitspatches mit ersten Abwehrmaßnahmen gegen Spectre und Meltdown veröffentlichen. Doch die Forscher weisen darauf hin, dass hundertprozentiger Schutz neu entwickelte Prozessortypen erfordert. Bis die auf den Markt kommen, dürften noch zwei Jahre vergehen. Ein Austausch in alten Geräten ist so gut wie unmöglich.

Was die Situation noch verschlimmert: Die Forscher gehen davon aus, dass "Spectre 1", "Spectre 2" und "Meltdown" erst der Anfang sind. Es sei zu befürchten, dass in den nächsten Monaten und Jahren weitere "Sidechannel-Angriffe" (so der Fachbegriff) entdeckt werden, die sich gegen die Architektur moderner Prozessoren richten.

Auch Mobilgeräte sind betroffen

Neben PC-Prozessoren von Intel und AMD sind auch viele in Smartphones sowie Tablets eingesetzte Chips von Spectre und Meltdown betroffen. Praktisch alle von ihnen basieren auf der Grundarchitektur der "Cortex"-Prozessorkerne der Firma ARM (Advanced RISC Machines).

Gerade leistungsfähigere ARM-Chips nutzen dieselben Prinzipien ("Out-of-Order Execution" und "Speculative Branch Prediction"), die auch PC-Chips angreifbar machen. Von Spectre und Meltdown sind allein Mobilgeräte-Chips nicht betroffen, die in einfacheren und älteren Cortex- Architekturen A7 und A53 stecken.

Dies gilt etwa für die Qualcomm-Snapdragons 41x, 42x, 43x, 45x, 61x und 62x (APQ8016, MSM891x/892x/ 893x/8952/8953) , die Samsung- Exynos-Chips 75xx, 7870 und 7880 sowie praktisch alle älteren Modelle von MediaTek- und HiSilicon-Kirin-Prozessoren. Modernere Chips, die zumindest für einige ihrer Rechenkerne neuere ARM-Varianten nutzen, sind dagegen durch Spectre und Meltdown angreifbar.

Wichtigster Schutz: Updates

Um die Lücken Spectre und Meltdown auszunutzen, muss ein Angreifer Programmcode lokal auf dem System ausführen. Mobilgeräten droht die größte Gefahr von manipulierten Apps und Malware, wie sie etwa durch Schad-Mails eingeschleust werden kann.

"Spectre-Exploits" können sich zudem Java-Scripte auf Webseiten zunutze machen. Apple reagierte schnell und stopfte mit dem Update auf iOS 11.2.2 die größten Lücken – inklusive einer Härtung des Safari-Browsers gegen Spectre. Doch zum einen lässt sich iOS 11 erst ab dem iPhone 5s und der iPad-Generation ab 2013 installieren – ältere Modelle gehen leer aus.

Und zum anderen kann auch iOS mögliche Angriffe nur erschweren, aber nicht komplett verhindern. Dennoch ist das Update allen, die es vornehmen können, unbedingt zu empfehlen. Wie gewohnt schlechter sieht die Situation für Android aus. Zwar stellte auch Google schnell ein Sicherheitsupdate namens "Januar 2018" mit ersten Abwehrmaßnahmen bereit.

Doch bis dieses wirklich bei den Smartphone-Nutzern ankommt, kann es dauern – vor allem auf älteren Geräten. Für die nächsten Jahre ist leider ein Katz-und-Maus-Spiel aus immer neuen Angriffen und per Update bereitgestellten Gegenmaßnahmen zu erwarten.

Die ungünstigste Kombination sind deshalb ältere Android-Geräte, deren Prozessoren bereits anfällig sind, die jedoch keine regelmäßigen Updates mehr erhalten. Es ist dringend zu hoffen, dass angesichts der ernsten Lage auch die Update-Muffel unter den Herstellern über ihren Schatten springen und mehr Sicherheitsmaßnahmen schneller verteilen.

Lesetipp: Intel - Meltdown-Spectre-Updates sorgen für Systemabstürze​

Grundsätzlich lassen sich die aktuellen Sicherheitspatches auf allen Android-Versionen bis zurück zu 5.1.1 installieren. Wem sein Smartphone-Hersteller dieses oder ein späteres Update bereitstellt, der sollte nicht zögern, es aufzuspielen. Jedoch ist auch dabei gesunde Skepsis angeraten: Schon warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Schadsoftware, die sich als vermeintliches Schutzupdate gegen die neuen Bedrohungen Spectre und Meltdown ausgibt.

Wie geht es nun weiter?

Smartphone- und Tablet-Nutzer, die in der Update-Falle sitzen, sollten die untenstehenden Tipps besonders beherzigen – und vielleicht doch über den Kauf eines neuen Geräts nachdenken. Aber auch allen anderen legen wir diese Tipps nahe. Lassen Sie sich den Spaß an Ihren Mobilgeräten nicht verderben – aber nehmen Sie die aktuelle Entwicklung zum Anlass, verstärktes Augenmerk auf das Thema Sicherheit zu legen.

Meltdown und Spectre: Das sollten Sie beherzigen

• Keine Panik: Auch wenn die Prozessorlücken Spectre und Meltdown ein GAU für die Sicherheit praktisch aller IT-Systeme sind, arbeiten alle Beteiligten mit Hochdruck an Gegenmaßnahmen. Zudem wurden bislang noch keine Angriffe in freier Wildbahn (also außerhalb von Labors) gesichtet.
• Regelmäßige Systemupdates: Aktualisieren Sie die Betriebssysteme Ihrer Geräte regelmäßig und spielen Sie alle Sicherheits-Patches zeitnah ein. Achten Sie aber darauf, dass diese wirklich aus zuverlässigen Quellen stammen.
• Apps nur aus vertrauenswürdigen Quellen: Nun gilt mehr denn je: Meiden Sie zwielichtige App-Stores, Jailbreaks oder gecrackte Apps. Der potenzielle Schaden durch Spectre und Meltdown, wie ausspionierte Passwörter oder Identitätsdaten, steht in keinem Verhältnis zur monetären Ersparnis durch illegale App-Downloads.
• Vorsicht vor zwielichtigen Webseiten: Die dunkleren Ecken des Internets sollte man in Zeiten von Spectre und Meltdown meiden. Hier ist die Gefahr mit Abstand am größten, Opfer kompromittierter Scripts oder anderer "Exploits"zu werden.
• Gesunden Menschenverstand walten lassen: Uralte Tipps, aktueller denn je: Vorsicht vor Phishing-Mails, Passwörter nicht mehrfach nutzen und gesunde Skepsis vor vermeintlichen Schnäppchen, die zu gut sind, um wahr zu sein.