Patchday: Schadcode über Bluetooth auf Android-Geräte schieben

Aufgrund von mehreren Schwachstellen in verschiedenen Komponenten des mobilen Betriebssystem Android könnten Angreifer Geräte attackieren und im schlimmsten Fall Schadcode ausführen. Für einige Smartphones und Tablets sind nun Sicherheitsupdates erschienen. Neben Google veröffentlicht unter anderem auch Samsung monatlich Patches (siehe Kasten rechts).

Bluetooth als Einfallstor

Am gefährlichsten stuft Google in einer Warnmeldung eine System-Lücke ein. Setzen Angreifer erfolgreich an der Schwachstelle an, sollen sie ohne weitere Rechte eigenen Code über Bluetooth auf Geräte schieben können. Welche Lücke das konkret ist und wie Attacken aussehen können, geht aus dem Beitrag nicht hervor.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

• BlackBerry
• Fairphone 3
• Fairphone 4
• Huawei
• LG
• Motorola
• Nokia
• Oppo
• Samsung
• Sony
• Support für Nexus- und Pixel-Geräte

Die vier als „kritisch“ eingestuften Schwachstellen betreffen das Framework und System. In drei Fällen handelt es sich um Remote-Code-Execution-Lücken (CVE-2022-20472, CVE-2022-20473, 20411). Das heißt, Angreifer könnten aus der Ferne Schadcode auf Geräten ausführen und so in der Regel die volle Kontrolle erlangen. In einem Fall könnten sie unberechtigt auf Informationen zugreifen (CVE-2022-20498).

Weitere potenzielle Gefahren

Die verbleibenden Sicherheitslücken sind größtenteils mit dem Bedrohungsgrad "hoch" eingestuft. Hier könnten sich Angreifer vorwiegend höhere Nutzerrechte verschaffen. Ob sie sich darüber zum Admin hochstufen können, ist bislang nicht bekannt. In so einer Position könnten sie mit dem Gerät im Grunde anstellen, was sie wollen.

Google gibt an, die Lücken in Security Patch Level 2022-12-01 und 2022-12-05 geschlossen zu haben. Das installierte Security Patch Level kann man in den Einstellungen von Android prüfen.

Wie aus einem weiteren Google-Beitrag hervorgeht, bekommen noch im Support befindliche Geräte von Googles Pixel-Serie diesen Monat ziemlich viele Extra-Sicherheitspatches. Davon stufen die Entwickler 16 Lücken als kritisch ein. Der Support für Pixel 4 und Pixel 4 XL ist im Oktober 2022 ausgelaufen – diese Geräte bekommen keine Sicherheitsupdates mehr. Im August 2023 ist zudem für Pixel 4a Schluss mit offizieller Unterstützung. Die aktuellen Modelle Pixel 7 und Pixel 7 Pro erhalten hingegen noch bis Oktober 2027 Software-Aktualisierungen.

(des)