Patchday Android: Kritische Lücken im System führen zu Remote Code Execution

Wer ein Android-Gerät besitzt, sollte die Update-Funktion anwerfen: Es sind zahlreiche Sicherheitsupdates erschienen.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Patchday Android: Kritische Lücken im System führen zu Remote Code Execution
Lesezeit: 2 Min.

Smartphones und Tablets mit den Android-Versionen 8.0, 8.1, 9 und 10 sind verwundbar. Erfolgreiche Attacken könnten zu vollständig kompromittierten Geräten führen. Google und weitere Hersteller wie Samsung haben nun Sicherheitsupdates veröffentlicht.

Wer ein Android-Gerät besitzt, sollte in den Einstellungen sicherstellen, dass das Security Patch Level 2020-04-01 oder 2020-04-05 installiert ist. Letzteres Paket enthält neben den aktuellen Sicherheitsupdates auch alle älteren Patches.

Google gibt in einer Meldung zum monatlichen Patchday an, dass sie den Code der Sicherheitspatches zeitnah im Repository des Android Open Source Project (AOSP) veröffentlichen wollen. Andere Hersteller sollen seit mindestens einem Monat von den Sicherheitsupdates wissen. Im Kasten auf der rechten Seite findet man Links zu Websites mit Infos zu Android-Sicherheitspatches von LG, Sony & Co.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Die gefährlichsten Sicherheitslücken finden sich in diesem Monat im System. An dieser Stelle haben die Android-Entwickler vier als "kritisch" eingestufte Lücken geschlossen. Für eine erfolgreiche Attacke müssen Angreifer Opfern eine präparierte Datei unterschieben. Klappt das, könnte Schadcode Geräte verseuchen.

Noch eine kritische Lücke geht auf eine WLAN-Komponente von Qualcomm zurück. Weitere acht kritische Schwachstellen machen verschiedene, nicht näher beschrieben Closed-Source-Komponenten des Halbleiterherstellers angreifbar.

Weitere Schwachstellen finden sich im Framework, Media Framework, FPC-Komponenten und Kernel-Komponenten. Detaillierte Infos dazu findet man in der Meldung von Google.

Wie aus einem Beitrag von Google hervorgeht, bekommt die Pixel-Serie noch Extra-Sicherheitspatches. Unter anderem kümmern sich die Entwickler um einen Bug (CVE-2020-0068) im Audiotreiber.

Außerdem hat Google einen Patch für das Pixel 4 veröffentlicht, der verhindert, dass das Smartphone via Gesichtserkennung mit geschlossenen Augen entsperrt wird. (des)