Alert!

Patchday Android: Angreifer können sich höhere Rechte erschleichen

Android-Geräte sind für Attacken anfällig. Google, Samsung & Co. stellen Sicherheitsupdates bereit.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Aufmacher Android-Patchday

(Bild: heise online)

Lesezeit: 2 Min.

Verschiedene Teile von Android weisen mehrere Schwachstellen auf, an denen Angreifer für diverse Attacken ansetzen können. Klappt das, können sie unter anderem auf eigentlich abgeschottete Informationen zugreifen.

Wie Google in einem Beitrag schreibt, sind davon die Android-Versionen 11, 12, 12L, 13 und 14 betroffen. Die Entwickler geben an, die Lücken in den Patch Levels 2024-01-01 und 2024-01-05 geschlossen zu haben. Neben Google stellen auch etwa LG und Sony für ausgewählte Geräte Sicherheitsupdates bereit (siehe Kasten).

Am gefährlichsten gilt diesen Monat eine Lücke im Framework, über die sich Angreifer höhere Nutzerrechte aneignen können. Attacken sollen ohne weitere Ausführungsrechte klappen. Wie eine Attacke konkret aussehen könnte, ist bislang unklar. Außerdem geht aus der Formulierung nicht hervor, welche Lücke das konkret ist. Insgesamt sind vier Schwachstellen mit dem Bedrohungsgrad "hoch" in diesem Kontext aufgelistet (CVE-2023-21245, CVE-2024-0015, CVE-2024-0018, CVE-2024-0023).

Über eine weitere Schwachstelle im Framework (CVE-2024-0019 "hoch") können Informationen leaken. Letzteres ist über mehrere mit "hoch" eingestufte Lücken im System möglich. Zusätzlich gibt es noch mehrere Sicherheitsupdates für Komponenten von Drittanbietern wie ARM und Qualcomm. Drei Schwachstellen (CVE-2023-21651, CVE-2023-33025, CVE-2023-33036) in nicht näher bezeichneten Qualcomm-Komponenten sind mit "kritisch" versehen.

In einer Warnmeldung listet Google drei als "moderat" eingestufte Lücken auf, die ausschließlich Geräte der Pixel-Reihe betreffen. Zuletzt lief im Oktober 2023 der Support für das Pixel 5 aus und das Gerät bekommt keine Sicherheitsupdates mehr. Das Pixel 5a mit 5G bekommt noch bis August 2024 Sicherheitspatches. Beim aktuellen Pixel 8 ist das noch bis Oktober 2030 der Fall.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)