Patchday: Angreifer attackieren gezielt Android-Geräte

Wer ein Android-Gerät besitzt, sollte in den Einstellungen sicherstellen, dass das Betriebssystem mit aktuellen Sicherheitsupdates ausgestattet ist. Durch das erfolgreiche Ausnutzen einer Kernel-Lücke verschaffen sich Angreifer zurzeit höhere Nutzerrechte auf verwundbaren Geräten.

In einer Warnmeldung zum Patchday im November schreiben die Entwickler, dass es sich dabei um “begrenzte, gezielte” Attacken handelt. Viele Details zur Schwachstelle (CVE-2021-1048 “hoch“) sind derzeit nicht bekannt. In einem nicht näher beschriebenen Angriffsszenario sollen sich Angreifer durch das Auslösen eines Speicherfehlers (use after free) lokal höhere Nutzerrechte erschleichen können.

Noch mehr gefährliche Lücken

Zwei als “kritisch” eingestufte Schwachstellen (CVE-2021-0918, CVE-2021-0930) bedrohen Android 9, 10, 11, und 12. Hier kann es der knappen Beschreibung zufolge zur Ausführung von Schadcode aus der Ferne kommen. Eine weitere kritische Lücke (CVE-2021-0889) betrifft Android TV. Auch an dieser Stelle kann nach einer erfolgreichen Attacke Schadcode auf Geräte gelangen.

Der Großteil der verbleibenden geschlossenen Schwachstellen ist mit “hoch” eingestuft. Klappen Attacken, könnten Angreifer DoS-Zustände auslösen und so etwa Geräte abstürzen lassen. Es ist aber auch vorstellbar, dass Angreifer Dateien leaken.

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches – aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

Wer ein Android-Gerät aus Googles Pixel-Serie besitzt, bekommt diesen Monat zehn zusätzliche Sicherheitsupdates serviert. Einem Beitrag von Google zufolge schließen die Extra-Updates etwa eine als kritisch eingestufte Lücke (CVE-2021-1044) im Titan-M-Sicherheitschip.

Jetzt patchen!

Wenn in den System-Einstellungen von Android die Security Patch Levels 2021-11-01, 2021-11-05 oder 2021-11-06 verzeichnet sind, ist das Gerät mit den aktuellen Sicherheitsupdates ausgestattet. Die letzten beiden Einträge bedeuten, dass neben den aktuellen Sicherheitsupdates auch die von bereits vergangenen Patchdays installiert sind.

Neben Google veröffentlichen auch Hersteller wie Huawei und Samsung regelmäßig Sicherheitsupdates (siehe Kasten rechts). Seit dem aktuellen Modell Pixel 6 verspricht Google fünf Jahre lang Sicherheitsupdates. Bei Vorgängermodellen war das nur für drei Jahre der Fall. Samsung will Geräte der Galaxy-Serie vier Jahre lang mit Sicherheitsupdates versorgen. Dieser Trend ist lange überfällig und zu begrüßen. Bleibt zu hoffen, dass da noch weitere Hersteller mitmachen.

Insgesamt ist die Update-Situation bei Android aber immer noch nicht optimal und viele noch gar nicht allzu alte Geräte werden niemals ein Sicherheitspatch zu Gesicht bekommen. Wer ein konkretes Modell im Blick hat, findet dieses mit etwas Glück in einer Datenbank von Google, und mit noch mehr Glück steht dort auch, wie lange das Gerät Updates bekommen soll. Die Liste ist aber weder von den aufgeführten Geräten vollständig, noch von den Zeitdauerangaben zu Patches. Etwa Sony gibt das nur bei wenigen Geräten an.

(des)