Patchday: Angreifer könnten Android-Geräte über Attacken lahmlegen

Aufgrund von mehreren Sicherheitslücken könnten Angreifer Smartphones und Tablets mit Googles Betriebssystem Android attackieren. Jetzt haben die Entwickler verschiedene System-Versionen mit Patches gegen mögliche Attacken abgesichert.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

• BlackBerry
• Fairphone 3
• Fairphone 4
• Huawei
• LG
• Motorola
• Nokia
• Oppo
• Samsung
• Sony
• Support für Nexus- und Pixel-Geräte

Von den Lücken sind die Android-Versionen 10, 11, 12, 12L und 13 betroffen. Neben Google stellen noch Hersteller wie LG und Samsung Sicherheitsupdates bereit (siehe Kasten). Doch nicht alle Geräte werden versorgt. Wer ein Android-Gerät besitzt, sollte in den Systemeinstellungen die installierte Version prüfen. Steht dort mindestens Patch Level 2022-11-01, ist das Gerät auf dem aktuellen Stand.

Gefährliche Sicherheitslücken

Wie aus einer Warnmeldung hervorgeht, ist nur eine Lücke (CVE-2022-35122) mit dem Bedrohungsgrad "kritisch" eingestuft. Die Schwachstelle betrifft eine nicht näher spezifizierte Qualcomm-Komponente (Closed-Source). Auch die Auswirkungen einer erfolgreichen Attacke sind bislang nicht bekannt. In der Regel können Angreifer über derartig eingestufte Lücken Schadcode ausführen und so die volle Kontrolle über Geräte erlangen.

Google stuft eine Lücke im Framework als besonders gefährlich ein. Setzt ein Angreifer ohne zusätzliche Ausführungsberechtigungen erfolgreich an der Schwachstelle an, könnte er sich höhere Nutzerrechte verschaffen. Wie Attacken aussehen könnten, führt Google derzeit nicht aus.

Der Großteil der weiteren Lücken ist mit "hoch" eingestuft. Auch hier könnten Angreifer ihre Rechte hochstufen. Es sind aber auch DoS-Attacken möglich, um Geräte lahmzulegen. Außerdem könnten Angreifer auf eigentlich abgeschottete Informationen zugreifen.

Extra-Patches

Googles Pixel-Serie bekommt einem Beitrag zufolge noch weitere Sicherheitsupdates serviert. Diese schließen unter anderem zwei Lücken (CVE-2022-20459 "hoch", CVE-2022-20460 "hoch") im Security-Chip Titan M.

Für Pixel-Geräte der Serie 4 und 4 XL ist der Support seit Oktober 2022 ausgelaufen. Diese Geräte bekommen keine Sicherheitsupdates mehr. Als Nächstes ist das im August 2023 für Pixel 4a der Fall.

(des)