Google stopft kritische Sicherheitslücke in Android

Google hat außerhalb seines monatlichen Patchdays ein Sicherheitsupdate für Android veröffentlicht. Es soll eine 2014 gepatchte, aber erst seit Februar 2015 bekannte Lücke im Linux-Kernel schließen. Google erhielt indes Mitte Februar 2016 von einer Gruppe von Sicherheitsforschern namens C0re Team den Hinweis, dass sich die Schwachstelle auch unter Android mithilfe von speziell präparierten Apps ausnutzen lässt.

Der Sicherheitsanbieter Zimperium entdeckte schließlich Mitte März eine auf der fraglichen Anfälligkeit mit der Kennung CVE-2015-1805 basierende Rooting-App auf einem Nexus-5-Smartphone. Google zufolge soll diese App die Modelle Nexus 5 und Nexus 6 rooten. Da die Schwachstelle zu einer lokalen Rechteausweitung führt und das Einschleusen und Ausführen von Schadcode sowie eine dauerhafte Kompromittierung eines Geräts erlaubt, stuft Google sie als kritisch ein. Bisher werde sie aber noch nicht für „gefährliche“ Zwecke eingesetzt.

Betroffen sind alle Geräte mit den Linux-Kernel-Versionen 3.4, 3.10 und 3.14. Gestopft wurde das Loch in der Kernel-Version 3.18. Google blockiert inzwischen die Installation jeglicher Rooting-Anwendungen – egal ob aus dem eigenen Play Store oder aus anderen Quellen – mithilfe der Funktion „Apps überprüfen“. Auch Googles eigene Systeme seien aktualisiert worden, heißt es im Security Advisory 2016-03-18. Google weist zudem darauf hin, dass Rooting-Anwendungen im Play Store nicht erlaubt sind.

Seit 16. März stellt Google seinen Android-Partnern den Patch zur Verfügung. Die eigenen Nexus-Geräte will es in den kommenden Tagen mit einem Update versorgen. Zudem wurde der Quellcode des Fixes für das Android Open Source Project freigegeben.

Nutzer, die prüfen wollen, ob ihr Gerät betroffen ist, finden die Linux-Kernel-Version in den Einstellungen unter dem Punkt „über das Telefon/Tablet“. Android N auf einem Nexus 9 nutzt beispielsweise die anfällige Kernel-Version 3.10. Gepatchte Geräte haben zudem laut Google die Android-Sicherheitspatch-Ebene 18. März 2016 oder 2. April 2016.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de