Patchday Android: Angreifer könnten sich weitreichende Berechtigungen aneignen
Google und weitere Smartphone-Hersteller haben wichtige Sicherheitsupdates für Android 9, 10, 11 und 12 veröffentlicht.
Am ersten Patchday in diesem Jahr hat Google zahlreiche Sicherheitslücken in verschiedenen Android-Versionen geschlossen. Davon ist aber nur eine Schwachstelle als "kritisch" eingestuft. Für den Großteil der verbleibenden Lücken gilt der Bedrohungsgrad "hoch".
Aus der Warnmeldung geht hervor, dass die kritische Schwachstelle (CVE-2021-30285) eine nicht näher beschriebene Qualcomm-Komponente (Closed-source) betrifft. Was Angreifer nach erfolgreichen Attacken anstellen können, ist derzeit nicht bekannt.
Google stuft eine Lücke (CVE-2021-0959 "hoch") in Android Runtime in Version 12 des Betriebssystems am gefährlichsten ein. Der knappen Beschreibung zufolge könnten lokale Angreifer dort ansetzen, um Speicherbeschränkungen zu umgehen und dadurch Zugang zu zusätzlichen Berechtigungen erlangen. Was Angreifer damit konkret anstellen können, führt Google zurzeit nicht aus.
DoS-Attacken und Datenleaks
Die weiteren Schwachstellen betreffen etwa Kernel-Komponenten und das System. Hier könnten Angreifer sich in den meisten Fällen höhere Nutzerrechte aneignen. Darüber hinaus sind noch DoS-Attacken vorstellbar und Angreifer könnten auf eigentlich abgeschottete Informationen zugreifen.
In einer gesonderten Warnmeldung findet man Informationen für auf Googles Pixel-Serie zugeschnittene Sicherheitspatches. Für die meisten Lücken gilt der Bedrohungsgrad "hoch". Betroffen sind unter anderem der Bootloader und Kernel. Auch hier könnten Angreifer ihre Nutzerrechte hochstufen.
Endliche langfristige Updates?
Wer ein Android-Gerät besitzt, sollte in den Einstellungen sicherstellen, dass das Patch Level 2022-01-01 oder 2022-01-05 installiert ist. Neben Google liefern auch etwa LG und Samsung monatlich Sicherheitsupdates aus (siehe Kasten rechtes). Leider geschieht dies nicht für alle Geräte. Wie sich die seit Anfang dieses Jahres geltende Update-Pflicht auf Android-Geräte auswirkt, bleibt abzuwarten.
(des)
