Patchday: Kritische Sicherheitslücken bedrohen Android-Smartphones

Google und weitere Hersteller von Android-Geräten wie Huawei und Samsung haben abgesicherte Android-Versionen veröffentlicht.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen
Patchday: Kritische Sicherheitslücken bedrohen Android-Smartphones
Lesezeit: 2 Min.

Die Android-Entwickler haben mehrere Sicherheitslücken in aktuellen Version von Android 8.0, 8.1, 9 und 10 geschlossen. Einige Lücken gelten als "kritisch". Besitzer von Android-Geräten sollten in den Einstellungen das installierte Patchlevel prüfen.

Steht dort 2020-07-01 oder 2020-07-05 ist das Gerät auf dem aktuellen Stand. Die Version mit dem älteren Datum enthält neben den aktuellen Sicherheitspatches auch alle vorigen Updates. Neben Google stellen noch weitere Hersteller von Android-Geräten monatlich abgesicherte Versionen bereit (siehe Kasten rechts).

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Als kritisch eingestufte Schwachstellen finden sich in verschiedenen Broadcom- und Qualcomm-Komponenten, Media Framework und dem System. Für erfolgreiche Attacken muss ein Angreifer Opfern eine präparierte Datei oder eine manipulierte Nachricht unterschieben. Anschließend soll die Ausführung von Schadcode mit teilweise weitreichenden Rechten möglich sein, führt Google in einer Warnmeldung aus.

Das von den weiteren Schwachstellen ausgehende Sicherheitsrisiko ist mit "hoch" eingestuft. Hier könnten sich Angreifer beispielsweise höhere Nutzerrechte verschaffen. Wie einem "Update Bulletin" zu entnehmen ist, hat Google für seine Pixel-Serie noch weitere als "moderat" gekennzeichnete Sicherheitsupdates veröffentlicht. Im Oktober 2020 läuft der Support für die Geräte Pixel 2 und Pixel 2 XL aus. Ab dann bekommen die Geräte keine Sicherheitsupdates mehr.

Google gibt an, Android-Hersteller mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt zu haben. Seitdem hatten die Hersteller Zeit, den Code zu implementieren. Der Source Code für die Patches ist im Android Open Soruce Project (AOSP) verfügbar. (des)