Patchday: Google schließt kritische Lücken in Pixel-Geräten
Wichtige Sicherheitsupdates schließen mehrere Schwachstellen im Android-System und Komponenten von Drittherstellern.
Besitzer von Google-Smartphones und -Tablets der Pixel-Serie sollten sicherstellen, dass ihre Geräte auf dem aktuellen Patchstand 2019-05-05 sind. Ansonsten könnten Angreifer in einigen Fällen mit vergleichsweise geringem Aufwand Geräte aus der Ferne attackieren und im schlimmsten Fall übernehmen.
In einer Sicherheitswarnung listet Google die Sicherheitslücken auf. Darin versichern sie auch, dass sie derzeit noch keine Attacken auf die Schwachstellen beobachtet haben. Als "kritisch" eingestufte Lücken finden sich beispielsweise im Media Framework, im System und in Komponenten von Drittherstellern wie Broadcom und Nvidia.
Um diese auszunutzen, muss ein Angreifer einem Opfer beispielsweise eine manipulierte Mediendatei unterjubeln, die das Opfer öffnen muss. Diese Schwachstelle findet sich im Media Framework Stagefright. Seit Jahren gibt es kaum einen Android-Patchday, an dem keine Stagefright-Lücken vorkommen. Für einige Attacken benötigt ein Angreifer lokalen Zugriff auf ein Gerät.
Updates für welche Smartphones?
Nexus-Geräte bekommen schon seit Ende vergangenen Jahres keine Sicherheitsupdates mehr – der Support ist ausgelaufen. Bei Googles aktueller Pixel-Serie ist das für die ersten Geräte im Oktober 2019 der Fall.
Global betrachtet ist die Verteilung von aktuellen und abgesicherten Android-Versionen eine Katastrophe. Dieser Missstand hat sich mittlerweile etwas verbessert, da neben Google nun auch etwa LG, Huawei und Nokia monatlich Sicherheitspatches (siehe Kasten rechts) für zumindest einige Android-Geräte veröffentlichen.
Google gibt an, Hersteller einen Monat vor der Veröffentlichung von Details zu Sicherheitslücken zu benachrichtigen. Der Source-Code von Patches befindet sich im Android Open Source Project (AOSP). (des)
