Alert!

Patchday: Angreifer könnten ihre Rechte unter Android 10 bis 13 hochstufen

Wichtige Sicherheitsupdates schließen zum Teil kritische Lücken in verschiedenen Android-Versionen.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
Lesezeit: 2 Min.

Wer ein Android-Gerät besitzt, sollte sicherstellen, dass die Software auf dem aktuellen Stand ist. Andernfalls sind Geräte verwundbar und Angreifer könnten etwa unberechtigt auf Daten zugreifen oder sich höhere Nutzerrechte verschaffen. Das aktuelle in den Einstellungen ablesbare Security Patch Level ist 2022-10-05.

Am Patchday im Oktober hat Google einer Warnmeldung zufolge Sicherheitspatches für Android 10, 11, 12, 12L und 13 veröffentlicht. Neben Google stellen unter anderem auch LG und Samsung monatlich Sicherheitsupdates zur Verfügung (siehe Kasten rechts). Leider ist aber immer noch nicht sichergestellt, dass alle am Markt befindlichen Android-Geräte die Patches bekommen.

Am gefährlichsten stuft Google eine Schwachstelle im Framework ein. Welche Lücke das konkret ist, geht aus der Beschreibung nicht hervor. Sind Attacken erfolgreich, sollen Angreifer mit höheren Nutzerrechten dastehen. Für einen Angriff sollen keine zusätzlichen Ausführungsrechte vonnöten sein.

Setzen Angreifer erfolgreich an Sicherheitslücken im Media Framework und System an, könnten sie auf eigentlich unzugängliche Informationen zugreifen. Auch DoS-Attacken sind vorstellbar. Weitere Schwachstellen im Kernel und in Kernel-Komponenten könnten Angreifern als Sprungbrett dienen, um ihre Rechte hochzustufen.

Außerdem könnten Angreifer Lücken in unter anderem MediaTek- und Qualcomm-Komponenten ausnutzen. Darunter fällt eine "kritisch" WLAN-Lücke (CVE-2022-25720). An dieser Stelle könnte es zu einem Speicherfehler (out of bound) kommen. Darüber können Angreifer in der Regel Schadcode auf Geräten ausführen.

Wie aus einem Beitrag hervorgeht, bekommt Googles Pixel-Serie zusätzliche Sicherheitsupdates. Darunter sind zwei als kritisch eingestufte Lücken in Kernel- und Trusty-Komponenten.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)