Patchday Android: Googles monatlicher Patientenbesuch
Verschiedene Android-Versionen sind über unter anderem als kritisch eingestufte Sicherheitslücken angreifbar. Updates schließen die Schwachstellen.
Google hat wichtige Sicherheitsupdates für die Android-Versionen 8.0, 8.1, 9 und 10 veröffentlicht. Wie man dem Kasten auf der rechten Seite entnehmen kann, haben das auch Hersteller wie LG und Samsung getan.
Wer ein Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patchlevel installiert ist. Die Angabe findet man in den Einstellungen unter System, Erweitert, Systemupdate. Steht dort 2020-02-01 oder 2020-02-05, ist man auf dem aktuellen Stand. Bei letzterem Patchlevel sind nicht nur die aktuellen Sicherheitsupdates enthalten, sondern auch die aus vorigen Patchdays.
Wie einer Mitteilung von Google zu entnehmen ist, soll der Source Code für die Sicherheitsupdates zeitnah im Android Open Source Project (AOSP) verfügbar sein. Android-Partner wissen seit einem Monat vor der Veröffentlichung der Mitteilung über die Updates Bescheid und können diese für eigene Geräte anbieten.
Gefährliche Sicherheitslücken
Die bedrohlichsten Schwachstellen (CVE-2020-0022, CVE-2020-0023) finden sich im System. Sie sind mit dem Bedrohungsgrad "kritisch" eingestuft. Um sie erfolgreich auszunutzen, müsste ein Angreifer Google zufolge lediglich eine präparierte Anfrage an betroffene Geräte schicken. Ist die Attacke erfolgreich, könnten Angreifer Schadcode ausführen und so die volle Kontrolle über Smartphones erlangen.
Weitere Schwachstellen finden sich im Framework, Kernel und Qualcomm-Komponenten. Hier gilt das Angriffsrisiko durchweg als "hoch". In den meisten Fällen könnten sich Angreifer über eine lokale manipulierte App höhere Nutzerrechte aneignen.
Google stellt die abgesicherten Android-Versionen für Geräte der hauseigenen Pixel-Serie bereit. Der Support von Nexus-Modellen ist bereits im November 2018 ausgelaufen und die Geräte bekommen keine Sicherheitsupdates mehr. (des)
