Die Entwickler von EMBA haben Version 2.0 ihres Firmware-Analysetools veröffentlicht. Das Release markiert nach Angaben des Projekts einen Meilenstein auf dem Weg zur automatischen Erkennung und Verifikation von Schwachstellen in Firmware-Images. EMBA ist ein Bash-basiertes Open-Source-Werkzeug zur automatisierten Firmware-Analyse. Es extrahiert Firmware-Images, führt statische und dynamische Analysen durch, generiert Software Bills of Materials (SBOMs) und erstellt Web-Reports. Die neue Version hebt sich durch eine überarbeitete System-Emulations-Engine hervor, die Geräte in einer emulierten Umgebung automatisch startet und so erkannte Schwachstellen verifiziert.

Benchmarks mit Router-Firmware

Die Entwickler haben EMBA 2.0 mit mehreren Firmware-Testsets verglichen. Beim FirmAE-Corpus, einem vor 2020 zusammengestellten Datensatz mit 1074 Firmware-Images, erreichte EMBA eine Erfolgsrate von 95 Prozent und identifizierte dabei über 6000 Netzwerkdienste. FirmAE selbst war ursprünglich auf eine Erfolgsrate von 79 Prozent optimiert worden, während Firmadyne bloß 16 Prozent schaffte. Als Erfolg gilt hierbei, dass mindestens ein Netzwerkdienst in der emulierten Umgebung erreichbar ist.

Bei einem am Fraunhofer FKIE Home Router Security Report orientierten Testset aus dem Jahr 2020 mit 126 Firmware-Images erreichte EMBA eine Erfolgsrate von 87 Prozent (über 600 Netzwerkdienste), FirmAE kam auf 30 Prozent, Firmadyne auf 5 Prozent. Ein neueres Testset von 2022 mit 121 Images bestätigte den Trend: EMBA emulierte 76 Prozent erfolgreich (rund 400 Netzwerkdienste), FirmAE nur 16 Prozent, Firmadyne lediglich 2 Prozent. Die Benchmarks zeigen, dass die Erfolgsrate bei aktuellerer Firmware sinkt, EMBA aber den Vorsprung zu den älteren Projekten hält.

KI-Integration und SBOM-Unterstützung

Version 2.0 bietet neben der verbesserten Emulation weitere neue Features: Die Integration von Dependency-Track ermöglicht den automatischen Transfer von SBOMs in Vulnerability- und SBOM-Management-Tools. EMBA unterstützt nun VEX (Vulnerability Exploitability eXchange) und erweiterte SBOM-Quellen. Das Tool nutzt CycloneDX-JSON als SBOM-Format und kann die Daten direkt an Dependency-Track übergeben.

Eine KI-unterstützte Firmware-Analyse ergänzt die klassischen Scan-Module. Neue Analysekomponenten wie Capa mit ATT&CK-Support, Semgrep und Zarn für Perl-Analysen erweitern die Erkennungsfähigkeiten. Das Modul S09 zur Binary-Versionserkennung wurde im Threading verbessert, was die Performance steigert. Die Emulation basiert auf QEMU mit einem angepassten Kernel-Build der Version 4.14.336 LTS, der bessere Kompatibilität mit älterer und aktueller Router-Firmware bieten soll.

Alle Details zum Update auf Version 2.0.0 finden sich auf der EMBA-Projektseite auf GitHub.

Offene Fragen zur Reproduzierbarkeit

Während die Benchmark-Ergebnisse beeindruckend ausfallen, bleiben einige Fragen offen. Die genauen Firmware-Korpora sind nicht vollständig dokumentiert, die Testsets orientieren sich an Home-Router-Firmware von Herstellern wie AVM, Netgear und Asus. Die Rohdaten der Firmware-Images liegen nicht direkt im Repository, sondern sind über externe Quellen wie Zenodo verfügbar. Eine unabhängige Verifikation der Benchmarks durch Dritte steht aus, obwohl das Projekt sich auf akademische Arbeiten wie jene zu FirmAE bezieht.

Die Emulation nutzt QEMU und angepasste Kernel-Patches für Bootloader-Kompatibilität. Diese Patches sind teilweise projektspezifisch, eine Einbringung in Upstream-Projekte wie Linux oder QEMU ist laut Issue-Tracker geplant. Bei proprietären Bootloadern und signierten Firmware-Images stößt EMBA an Grenzen, hier greift das Tool auf User-Mode-Emulation oder statische Analyse zurück.

Bei der Ausführung potenziell schadhafter Firmware in Docker- oder VM-Umgebungen empfehlen die Entwickler zusätzliche Sicherheitsmaßnahmen wie Nested VMs, AppArmor oder SELinux. Netzwerk-Leaks und Kernel-Exploits können Risiken darstellen, weshalb produktive Umgebungen gemieden werden sollten. Rechtliche Aspekte wie die Lizenz-Compliance bei extrahierten proprietären Binaries oder DSGVO-Fragen bei gespeicherten Credentials liegen in der Verantwortung der Nutzer.

Enterprise-Einsatz und Responsible Disclosure

Für Enterprise-Anwender sieht EMBA eine Skalierung über Docker-Swarms und Kubernetes vor. Die Web-UI EMBArk ermöglicht Cluster-Deployments, Performance-Tests zeigen über 100 analysierte Images pro Tag auf 64-Core-Systemen. Die Integration in CI/CD-Pipelines ist über Docker-Images als GitHub Actions oder Jenkins-Steps möglich.

Mechanismen für eine Responsible Disclosure bei automatisch identifizierten Zero-Days sind nicht eingebaut. Die Entwickler verweisen auf manuelle CVD-Prozesse über First.org und den Issue-Tracker. Die Aktualität der Vulnerability-Feeds wird über das Update-Skript sichergestellt, das täglich CVE-Datenbanken wie cve-bin-tool und cve-search aktualisiert.

EMBA positioniert sich als freie Alternative zu kommerziellen Firmware-Scannern. Die höhere Emulationsdeckung gegenüber proprietärer Software spricht für das Werkzeug, allerdings erfordert es eine manuelle Verifikation der Ergebnisse.

(fo)

Schleswig-Holsteins Ministerpräsident Daniel Günther drängt auf ein rasches Social-Media-Verbot für Heranwachsende unter 16 Jahren in Europa. Australiens Umsetzung eines Mindestalters für Social-Media-Angebote sieht er als klares Vorbild. Dort dürfen seit dem 10. Dezember dieses Jahres nur noch Menschen ab 16 Jahren Plattformen wie Tiktok, Instgram, Snapchat, Youtube, Facebook oder Reddit nutzen.

Gegenüber der dpa erklärte Günther: „Kinder sind alleine in diesem digitalen Raum und werden dort mit Inhalten konfrontiert und belastet, die sie in diesem Lebensalter überfordern, sie nicht verkraften und die zu erheblichen psychischen Problemen führen. Deswegen wünsche ich mir, dass wir möglichst schnell und möglichst in ganz Europa dem australischen Beispiel folgen.“ Günther machte deutlich, dass dies nicht gegen Medienbildung oder auch eine Nutzung von neuen Medien und Social Media spreche, diese müsse aber professionell begleitet werden.

Europäische Lösung gewünscht

Während sich Günther zwar eine Einigung und Umsetzung auf europäischer Ebene wünscht, unterstreicht er zugleich, dass Verantwortliche – auch in Deutschland – schnell handeln sollten. „Warten dürfen wir auf keinen Fall. Es ist unsere Pflicht, Verantwortung zu übernehmen, klare gesetzliche Grenzen zu ziehen und Kinder und Jugendliche bestmöglich zu schützen.“ Ein starker Staat müsse diesen Weg in aller Konsequenz beschreiten. Eine ablehnende Position mit der schwierigen technischen Kontrolle zu begründen, halte er für eine Ausrede.

Als einen wichtigen Schritt in die richtige Richtung sieht Günther die von Bundesbildungsministerin Prien in diesem Sommer eingesetzte Expertenkommission an, die prüft, welche Gefährdungen es online gibt und wie ein entsprechender Kinder- und Jugendschutz aussehen sollte. Mit Prien hat Günther eine Mitstreiterin auf Bundesebene, die aus dem gleichen Landesverband stammt. Prien war vor ihrem Wechsel in die Bundespolitik Bildungsministerin von Schleswig-Holstein. Die von ihr eingesetzte Kommission kommt allerdings nicht Günthers Wunsch nach raschen Entscheidungen entgegen, da diese erst im Sommer 2026 Ergebnisse ihrer Arbeit vorlegen will. Neue Rückendeckung lieferte in dieser Woche aber noch die Vodafone Stiftung, die Handlungsempfehlungen für Politik, Bildungsakteure und Plattform-Betreiber im Nachgang zu ihrer diesjährigen Jugendstudie herausgegeben hat. Sie kommt zu dem Ergebnis: Sowohl ein Social-Media-Mindestalter als auch ein Smartphone-Verbot in Schulen bis zum Ende der Sekundarstufe I sollten in Deutschland umgesetzt werden.

Einigkeit über ein Mindestalter für Social-Media-Angebote gibt es indessen innerhalb der CDU/CSU nicht. Zwar hat etwa Thüringen einen Antrag in den Bundesrat eingebracht, ein solches Verbot durchzusetzen, unter anderem Bayerns Ministerpräsident Markus Söder hat sich aber wiederholt gegen eine feste Altersgrenze ausgesprochen.

Australien hatte die Entscheidung für ein Mindestalter von 16 Jahren für Social Media im vergangenen Jahr getroffen. Anbieter wie Reddit versuchen weiterhin gegen die neuen Vorgaben vorzugehen. Die Nord-CDU will neben einer verbindlichen Altersverifikation für Social Media auch eine Klarnamenpflicht für Online-Plattformen, um etwa Hass und Hetze stärker einzudämmen.

(kbe)

Etwa zwei Wochen nach der Veröffentlichung von Android 16 QPR2 (Quarterly Platform Release) für Pixel-Geräte und im AOSP legt Google nach: Mit der Beta 1 von Android 16 QPR3 (Build: CP11.251114.006) bereitet der Konzern das nächste Update vor, das im März 2026 für alle Pixel-Nutzerinnen und -Nutzer erscheinen wird. Laut Google sind die Builds der QPR-Betas „für die allgemeine Verwendung geeignet“.

Die QPR3 Beta kann nach der Registrierung im Android-Beta-Programm als Over-the-Air-Update auf kompatiblen Smartphones installiert werden. Dazu gehören sämtliche Pixel-Smartphones ab Generation 6, die beiden Foldables von Google sowie das Pixel-Tablet.

Was steckt drin?

Der Umfang der Neuerungen in der Android 16 QPR3 Beta 1 ist recht überschaubar, mit den folgenden QPR3-Betas könnte Google womöglich weitere Features einbauen. Zu den bisher gefundenen Änderungen gehören etwa die Möglichkeit, die „Live-Anzeige“ („At a Glance“) vom Homescreen auszuschließen. Die „Live-Anzeige“ zeigt neben Datum und Wetter auch anstehende Termine und Ereignisse an. Ferner zieht eine etwas andere Animation für Ordner ein und Themed-App-Icons heißen nun „Minimal“.

#

Zudem kann die Taschenlampe mit einem Schieberegler in ihrer Intensität geregelt werden. Überdies integriert Google in den Einstellungen unter „Navigationsmodus“ neben der klassischen Anordnung der Navigationstasten auch die von Samsung. Für Nutzer:innen, die von einem Samsung-Telefon kommen und weiterhin auf die Bedienung des Systems über Softwarebuttons setzen, dürfte die Hürde damit kleiner sein.

Geändert hat Google auch das Hinweissymbol in der Statusleiste, wenn eine App auf die Ortsdaten zugreift. Es ist nun ein kleiner, blauer Punkt. Tippt man auf den Punkt, kann man einsehen, welche Apps den Standort des Geräts verwenden. Außerdem ist es hier möglich, Anwendungen den Zugriff zu verwehren.

Pixel-Nutzer, die ihr Gerät bereits im Android-Beta-Programm registriert haben, erhalten das Update automatisch. Zudem sollte man wissen, dass der Ausstieg aus der Beta ohne Datenverlust nicht möglich ist. Nutzer, die das Update installieren, müssen bis zur finalen Version, die voraussichtlich im März 2026 erscheint, in der Beta bleiben. Verlässt man das Programm früher, wird das Smartphone beim Installieren des stabilen Updates komplett zurückgesetzt.

Android 17 im Sommer 2026

Die Version QPR3 wird das letzte Funktionsupdate für Android 16 sein. Im Sommer, voraussichtlich wieder im Juni, dürfte Google das große Update auf Android 17 freigeben. Im Unterschied zur bisherigen Android-Entwicklung wird es für das Update keine Developer-Previews mehr geben, stattdessen testet Google neue Funktionen über den im Sommer eingeführten Android-Canary-Channel. Anfang des nächsten Jahres – spätestens im März – dürfte Google die erste Betaversion von Android 17 anbieten.

(afl)