Patchday: Android gegen Schadcode-Attacken gerüstet
Google hat in den Android-Versionen 9, 10, 11 und 12 zum Teil kritische Sicherheitslücken geschlossen.
Nach erfolgreichen Attacken auf Android-Geräte könnten Informationen leaken. Auch die Erhöhung von Nutzerrechten oder sogar die Ausführung von Schadcode ist vorstellbar. Aktualisierte Android-Versionen sollen Abhilfe schaffen.
In einer Warnmeldung stuft Google abermals eine „kritische“ Sicherheitslücke (CVE-2021-0967) im Media Framework als am gefährlichsten ein. Die Stagefright-Schwachstellen sorgen schon seit 2015 für Ärger. Wie ein Angriffsszenario aussehen könnte, ist derzeit unklar. Bei anderen Attacken auf das Framework reichte oft das Öffnen einer präparierten Video-Datei. Beispielsweise auf einer Website.
Noch mehr Schwachstellen
Weitere kritische Lücken betreffen das System und diverse Closed-Source-Komponenten von Qualcomm. Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. Android-Nutzer sollten prüfen, ob das Security Patch Level aktuell ist (2021-12-01 oder 2021-12-05). Wie man die installierte Android-Version ausliest und Updates bekommt, führen die Entwickler in einem Support-Beitrag aus.
Neben Google liefern auch beispielsweise LG und Samsung monatlich Sicherheitsupdates für Android aus (siehe Kasten). Das passiert aber leider längst nicht für alle Geräteserien.
Geräte der Pixel-Reihe haben diesen Monate jede Menge Extra-Sicherheitspatches bekommen. Darunter sind mehrere Lücken im Bootloader (CVE-2021-39639 „hoch“, CVE-2021-39640 „hoch“, CVE-2021-39644 „hoch“). Hier könnten sich Angreifer höhere Nutzerrechte verschaffen. Die restlichen Lücken sind mit der Einstufung "moderat" versehen.
Wie aus einem Dokument von Google hervorgeht, ist der Support für Pixel-3-Modelle und ältere Geräte bereits ausgelaufen. Ab Mai 2022 bekommt dann die Pixel-3a-Serie keine Sicherheitsupdates mehr.
(des)
