Google schließt sieben kritische Sicherheitslücken in Android

Google hat das monatliche Sicherheitsupdate für sein Mobilbetriebssystem Android veröffentlicht. Einem Security Bulletin zufolge stopft es insgesamt 19 Löcher, von denen das Unternehmen sieben als kritisch einstuft. Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode mit Rechten, die Anwendungen von Drittanbietern normalerweise nicht erhalten. Auch eine vollständige Kompromittierung eines Android-Geräts, die sich nur durch das erneute Flashen des Betriebssystems beheben lässt, ist demnach möglich.

Die kritischen Lücken stecken in den Komponenten Mediaserver, Conscrypt, Keyring sowie in der Bibliothek „libvpx“, in der Qualcomm Performance Component und dem Mediatek-WLAN-Treiber. Sie lassen sich beispielsweise durch speziell präparierte Mediendateien, die im Browser wiedergegeben werden, oder auch manipulierte MMS-Nachrichten ausnutzen.

Ein hohes Risiko geht indes von einem Kernel-Bug aus, der das Umgehen von Sicherheitsfunktionen erlaubt. Das gilt auch für einen Fehler in einem Kernel-Treiber für Mediatek-Prozessoren. Die Bibliothek libstagefright kann ebenfalls benutzt werden, um Sicherheitsmaßnahmen zu umgehen. Weitere Fehler wurden in der Bluetooth-Funktion, im Mediaserver, der Telefonanwendung und im Einrichtungsassistenten entfernt.

Einige der Anfälligkeiten betreffen die Android-Versionen 4.4.4 KitKat, 5.x Lollipop und 6.0 Marshmallow. Andere sind wiederum auf das neueste Release, sprich Android Marshmallow beschränkt. Entdeckt wurden sie überwiegend von Google-Mitarbeitern. Einige der von Dritten gemeldeten Schwachstellen sind dem Unternehmen allerdings schon seit Mitte November 2015 bekannt.

Aktuelle Factory Images für die Nexus-Geräte verteilt Google ab sofort über seine Entwickler-Site. Sie stehen für Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 5 Lollipop mindestens das Build LMY49H und bei Android 6 Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. März 2016 angezeigt werden.

Wer nicht auf das OTA-Update warten möchte, sollte beachten, dass durch die Installation eines Factory Images in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Nutzer sollten zuvor also unbedingt ihre persönlichen Daten wie Fotos und Downloads sichern. Der ZDNet-Artikel „Nexus 4, 5 und 7: Android 5.0 Lollipop installieren“ liefert eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates garantiert. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de