Google stopft auch im Juni zahlreiche kritische Löcher in Android

Google hat das Android Security Bulletin für Juni 2016 veröffentlicht. Es beschreibt insgesamt 40 Anfälligkeiten, von denen acht als kritisch bewertet sind. Von 28 Anfälligkeiten geht ein hohes Risiko aus. Betroffen sind Smartphones und Tablets mit Android 4.4.4, 5.0.2, 5.1.1, 6.0 und 6.0.1.

Das Einschleusen und Ausführen von Schadcode aus der Ferne erlaubt unter anderem eine Anfälligkeit in der Komponente Mediaserver. Sie tritt bei der Verarbeitung von Mediendateien sowie Audio- und Videostreams auf und lässt sich auch durch speziell präparierte MMS oder Websites ausnutzen. Das gilt auch für eine Lücke in der Bibliothek libwebm.

Kritische Fehler im GPU-Treiber, WLAN-Treiber und Sound Treiber von Qualcomm sowie im Broadcom-WLAN-Treiber betreffen nur Geräte, in denen Chips dieser Hersteller verbaut sind. Gefährliche Apps können die Lücken verwenden, um beliebigen Code mit Kernel-Rechten zu installieren. Darüber eingeschleuste Schadsoftware lässt sich Google zufolge unter Umständen nur durch erneutes Flashen des Betriebssystem entfernen.

Alleine zwölf Anfälligkeiten mit einem hohen Risiko stecken in der Komponente Mediaserver. Außerdem haben die Entwickler weitere Bugs in Treibern von Qualcomm, Nvidia, Broadcom und MediaTek beseitigt. Weitere Schwachstellen im Mediaserver könnten es Apps erlauben, auf persönliche Daten zuzugreifen, für die sie keine Berechtigung besitzen, oder einen Neustart des Geräts auszulösen. Letzteres soll sich auch für Denial-of-Service-Angriffe nutzen lassen, die ein Gerät möglicherweise unbrauchbar machen.

Google schließt die Schwachstellen in seinen aktuellen Nexus-Geräten per Over-the-Air-Update. Auf der Entwickler-Seite stehen aber auch neue Firmware-Images für Nexus 5, Nexus 6, Nexus 5X, Nexus 6P, Nexus 7 (2013) und Nexus 9 sowie Nexus Player und Pixel C zum Download bereit.

Samsung hat ebenfalls eine aktuelle Sicherheitsmeldung veröffentlicht und Updates für seine Flaggschiff-Modelle angekündigt, die die von Google gemeldeten Sicherheitslücken schließen. Darüber hinaus stopft Samsung neun Löcher, die nur die eigenen Geräte betreffen. Nutzer von Galaxy S7, S7 Edge, S6 Edge+, S6 Edge, S6, S6 Active, S5 Active sowie Note 5, Note 4, Note Edge und Galaxy A5x sollten die Patches in Kürze Over the Air erhalten. Darüber hinaus haben LG und Blackberry zugesagt, ihre Android-Produkte regelmäßig mit Updates zu versorgen.

In den USA ermitteln die Handelsbehörde Federal Trade Commission und die Regulierungsbehörde Federal Communications Commission seit Mai gegen die Smartphonehersteller Apple, Blackberry, Google, HTC, LG, Microsoft, Motorola und Samsung. Sie wollen mehr über die Sicherheit mobiler Geräte erfahren und über die Gründe, warum bestimmte Geräte Sicherheitsupdates erhalten, andere jedoch nicht.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de