Patchday: Kritische Systemlücke lässt Angreifer Android-Geräte übernehmen
Es gibt wichtige Sicherheitsupdates für Android 10, 11, 12 und verschiedene Komponenten des Systems.
Damit Angreifer nicht die volle Kontrolle über Android-Geräte erlangen, hat Google am Patchday im Februar jede Menge Sicherheitsupdates veröffentlicht. Wer ein im Support befindliches Smartphone oder Tablet besitzt, sollte das Patch Level auf Aktualität prüfen.
Steht dort 2022-02-01 oder 2022-02-05, ist man vorerst auf der sicheren Seite und das Gerät ist bei den Sicherheitspatches auf dem aktuellen Stand. Neben Google liefern auch andere Hersteller wie LG und Samsung monatlich Android-Updates (siehe Kasten rechts). Leider bekommen längst nicht alle Geräte die Patches.
Gefährliche Sicherheitslücken
Am bedrohlichsten stuft Google in einer Warnmeldung eine "kritische" System-Schwachstelle (CVE-2021-39675) ein. Darüber könnten sich entfernte Angreifer ohne das Zutun von Opfern höhere Benutzerrechte aneignen. Wie das im Detail funktioniert, ist bislang nicht bekannt.
Der Großteil der verbleibenden Lücken ist mit dem Bedrohungsgrad "hoch" eingestuft und betrifft Framework, Media Framework und verschiedene Komponenten von Dritten wie Unisco. In den meisten Fällen könnten Angreifer nach erfolgreichen Attacken mit höheren Nutzerrechten dastehen. Außerdem könnten sie auf eigentlich abgeschottete Informationen zugreifen oder DoS-Zustände provozieren. Danach könnten Geräte abstürzen.
Extra-Sicherheitsupdate-Wurst
Googles Pixel-Serie bekommt diesen Monat zusätzliche Patches. Einem Beitrag zufolge könnte ein Angreifer an einer Schwachstelle (CVE-2021-39687 "hoch") in der Kamera ansetzen und Informationen leaken. Pixel-Geräte der Serien 1, 2 und 3 bekommen keine Updates mehr, da der Support ausgelaufen ist. Im Mai 2022 ist dann für die Modelle 3a und 3a XL Schluss. Im Oktober 2022 folgen Pixel 4 und Pixel 4 XL.
[UPDATE 08.02.2022 13:15 Uhr]
Im Support befindliche Geräte im Fließtext angepasst.
(des)
