Im Android Security Bulletin für Mai 2017 führt Google Einzelheiten zu Schwachstellen auf, für die in diesem Monat Patches bereitstehen. Nexus-Geräte erhalten ein automatisches OTA-Sicherheitsupdate, während Factory-Images auf Googles Entwickler-Website verfügbar sind. Hardwarepartner wurden über die beschriebenen Sicherheitsprobleme am 3. April 2017 oder früher informiert.
Besonders schwerwiegend ist eine kritische Schwachstelle, die auf betroffenen Geräten Remotecodeausführung auf verschiedenen Wegen wie E-Mail, Websurfen und MMS bei der Verarbeitung von Mediendateien erlaubt. Google erklärt jedoch, dass bislang keine Berichte über eine aktive Ausnutzung der jetzt enthüllten Anfälligkeiten eingingen. Das Bulletin gruppiert die Sicherheitspatches erneut in zwei Ebenen, um Herstellungspartnern die flexible und schnelle Behebung von Schwachstellen zu erlauben, die auf allen Android-Geräten in ähnlicher Weise auftreten.
Als kritisch eingestuft in der Sicherheitspatch-Ebene 1. Mai 2017 ist weiterhin eine Schwachstelle in den Framework-APIs, durch die eine lokale bösartige Anwendung höhere Berechtigungen erlangen könnte. Sie ist deshalb gefährlich, weil sich damit allgemeine Schutzvorkehrungen umgehen lassen, die Anwendungsdaten gegenüber anderen Anwendungen isolieren.
Nach der "Mutter aller Sicherheitslücken" in 2015, dem sogenannten Stagefright-Bug, versprachen die Hersteller Besserung in Form von monatlichen Sicherheitsupdates. Allerdings gibt es nur wenige Firmen, die diese Ankündigung in die Tat umgesetzt haben.
Im Mediaserver sowie im Audioserver wurden Schwachstellen hinsichtlich erhöhten Berechtigungen entdeckt, die einer Anwendung die Ausführung beliebigen Programmcodes ermöglichen könnte. Sie erhielte damit Befugnisse, die der Anwendung eines Drittanbieters normalerweise nicht zugänglich sind.
Gravierend ist außerdem eine Denial-of-Service-Lücke im Mediaserver. Ein Angreifer könnte eine entsprechend präparierte Datei nutzen, um aus der Ferne ein Gerät zum Einfrieren zu bringen oder einen Neustart auszulösen.
Eine ganze Reihe von Schwachstellen wurden zudem mit mäßiger oder nur geringer Gefährdung eingestuft. Weitere kritische Sicherheitslücken finden sich aber auch in der Sicherheitspatch-Ebene 5. Mai 2017, die häufig in den Treibern einzelner Hersteller entdeckt wurden.
Für seine Flaggschiff-Modelle hat auch Samsung inzwischen ein Wartungsupdate im Rahmen seines monatlichen Programms Security Maintenance Release (SMR) freigegeben. Die Sammlung des koreanischen Herstellers schließt Patches bis zu Googles Mai-Sicherheitsbulletin ein und behebt 11 weitere Schwachstellen seiner eigenen Geräte, deren Gefährdungspotential als mittelmäßig oder gering eingeschätzt wurde.
Google hat Firmware-Images mit den Mai-Sicherheitsupdates bereits veröffentlicht. Auch OTA-Updates sollen bereits gestartet sein. Nutzer von Unterstützten Nexus-Smartphones sollten also das Update in Kürze erhalten.
Auch für die Samsung-Flaggschiffe sollten die Updates bald zur Verfügung stehen. Zusammen mit Sony und LG hatte Samsung nach dem Bekanntwerden der Stagefright-Lücken versprochen, Sicherheitsupdates monatlich auszuliefern. Tatsächlich müssen Galaxy-Anwender jedoch meistens etwas länger warten, bis sie Sicherheitsaktualisierungen erhalten, weil die Mobilfunkprovider den Update-Prozess selbst steuern. Während hierzulande Vodafone regelmäßig Updates ausliefert, müssen sich Kunden anderer Provider meist etwas länger gedulden. Auch bei den freien Geräte, die von Samsung selbst gewartet werden, treten Wartezeiten auf.
Dennoch ist die Update-Situation bei Samsung noch eher als gut zu bezeichnen, wenn man andere große Hersteller betrachtet. Von LG gibt es für das G3 seit geraumer Zeit keine Sicherheitsupdate mehr, während Samsung für das in etwa zeitgleich erschienene Modell Galaxy S5 noch Aktualisierungen ausliefert. Nutzer, denen Sicherheit wichtig ist, sollten sich bei der Neuanschaffung eines Smartphones die Update-Historie der Hersteller genau unter die Lupe nehmen.
Google und Samsung haben versprochen zumindest ihre Flaggschiff-Modelle zwei Jahre lang mit neuen Android-Versionen zu aktualisieren. Die Auslieferung von Sicherheitsupdates unterstützen sie drei Jahre lang.
Um aktuelle Sicherheitspatches zu erhalten, bleibt Nutzern nach dieser Zeit noch der Ausweg über die Installation einer alternativen Firmware wie LineageOS. Die aus dem CyneogenMod-Projekt hervorgegangene Android-ROM unterstützt Smartphones deutlich länger mit Sicherheitsupdates und neuen Android-Versionen als die Hersteller der Telefone. So steht beispielsweise für das 2011 erschienene Galaxy SII Android 7.1.2 inklusive aktueller Sicherheitspatches zur Verfügung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…