Patchday: Angriffsflächen in Android 10, 11, 12, 13 verkleinert
Angreifer könnten Android-Geräte attackieren und sich beispielsweise höhere Nutzerrechte verschaffen.
Google hat für verschiedene Android-Versionen wichtige Sicherheitsupdates veröffentlicht. Besitzer von (noch) unterstützten Geräten sollten in den Einstellungen das installierte Patch Level prüfen. Neben Google stellen auch Hersteller wie LG und Samsung regelmäßig Sicherheitsupdates zur Verfügung (siehe Kasten). Leider passiert das nicht für alle Geräte, auch wenn sich die Support-Situation in der vergangenen Jahren verbessert hat.
Wie aus einer Warnmeldung hervorgeht, sind die aktuellen Patch Level 2023-02-01 und 2023-02-05. Letzteres beinhaltet auch alle vorigen Patch Levels. Google gibt an, dass Android-Partner seit mindestens einem Monat über die Sicherheitsupdates Bescheid wissen. Außerdem steht der Quellcode im Open Source Project (AOSP) zur Verfügung.
Angreifer mit erhöhten Rechten
Am gefährlichsten stufen die Entwickler eine Lücke im Framework ein. Setzt ein Angreifer dort erfolgreich an, kann er sich lokal ohne zusätzliche Ausführungsrechte erhöhte Privilegien (Elevation of privilege, EoP) verschaffen. Der Großteil der EoP-Lücken im Framework ist mit dem Bedrohungsgrad "hoch" eingestuft. Wie Attacken im Detail aussehen könnten, ist bislang nicht bekannt.
Weitere EoP-Schwachstellen bedrohen die Komponenten Media Framework, Kernel und System. Überdies könnten Angreifer noch unberechtigt auf Informationen zugreifen oder DoS-Attacken ausführen.
Kritische Lücken
Kritische Schwachstellen betreffen Komponenten von Qualcomm. Davon sind unter anderem Bluetooth und der Kernel bedroht. Des Weiteren könnten Komponenten von MediaTek und Unisoc als Einfallstor für Angreifer dienen.
Googles Pixel-Serie bekommt diesen Monat drei Extra-Sicherheitsupdates serviert. Eine Lücke (CVE-2023-20949) ist mit "hoch" eingestuft. Die beiden anderen gelten als "moderat" und betreffen den Bootloader und die Kamera.
(des)
