Patchday Android: Googles monatlicher Patientenbesuch

Verschiedene Android-Versionen sind ĂĽber unter anderem als kritisch eingestufte SicherheitslĂĽcken angreifbar. Updates schlieĂźen die Schwachstellen.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Patchday: Google verarztet Android
Lesezeit: 2 Min.

Google hat wichtige Sicherheitsupdates für die Android-Versionen 8.0, 8.1, 9 und 10 veröffentlicht. Wie man dem Kasten auf der rechten Seite entnehmen kann, haben das auch Hersteller wie LG und Samsung getan.

Wer ein Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patchlevel installiert ist. Die Angabe findet man in den Einstellungen unter System, Erweitert, Systemupdate. Steht dort 2020-02-01 oder 2020-02-05, ist man auf dem aktuellen Stand. Bei letzterem Patchlevel sind nicht nur die aktuellen Sicherheitsupdates enthalten, sondern auch die aus vorigen Patchdays.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Wie einer Mitteilung von Google zu entnehmen ist, soll der Source Code für die Sicherheitsupdates zeitnah im Android Open Source Project (AOSP) verfügbar sein. Android-Partner wissen seit einem Monat vor der Veröffentlichung der Mitteilung über die Updates Bescheid und können diese für eigene Geräte anbieten.

Die bedrohlichsten Schwachstellen (CVE-2020-0022, CVE-2020-0023) finden sich im System. Sie sind mit dem Bedrohungsgrad "kritisch" eingestuft. Um sie erfolgreich auszunutzen, müsste ein Angreifer Google zufolge lediglich eine präparierte Anfrage an betroffene Geräte schicken. Ist die Attacke erfolgreich, könnten Angreifer Schadcode ausführen und so die volle Kontrolle über Smartphones erlangen.

Weitere Schwachstellen finden sich im Framework, Kernel und Qualcomm-Komponenten. Hier gilt das Angriffsrisiko durchweg als "hoch". In den meisten Fällen könnten sich Angreifer über eine lokale manipulierte App höhere Nutzerrechte aneignen.

Google stellt die abgesicherten Android-Versionen für Geräte der hauseigenen Pixel-Serie bereit. Der Support von Nexus-Modellen ist bereits im November 2018 ausgelaufen und die Geräte bekommen keine Sicherheitsupdates mehr. (des)