Categories: MobileMobile OS

Android-Patchday: Google veröffentlicht Juli-Sicherheitspatches

Google hat neue Versionen seiner monatlich erscheinenden Sicherheitspatches für Android veröffentlicht. Das Juli-Update mit Patch-Level 1. Juli schließt insgesamt 21 Schwachstellen, von denen fünf als kritisch eingestuft sind. Kritische Schwachstellen sind Sicherheitslücken, die eine Ausführung von Code aus der Ferne erlauben (Remote Code Execution, RCE).

Zusätzlich zu den Sicherheitslücken, die Android generell betreffen, schließt der Patch-Level 5. Juli herstellerspezifische Schwachstellen, die etwa in Qualcomm-Treibern enthalten sind. Diesen Monat sind das 32, wovon neun als kritisch eingestuft sind.

Die meisten Smartphone-Hersteller implementieren grundsätzlich den ersten Patch-Level. Die im zweiten Patch-Level aufgeführten Schwachstellen werden allerdings mit dem ersten Patch-Level des Folgemonats geschlossen. Die Android-Sicherheitsebene 1. Juli schließt also die Schwachstellen, die im zweiten Patch-Level des Monats Juni enthalten waren, ein.

Zusätzlich zu den von Google bereitgestellten Sicherheitsupdates für Android veröffentlichen auch einige Smartphonehersteller für ihre Geräte sicherheitsrelevante Patches. Samsung schließt diesen Monat neun Sicherheitslücken, von denen es mindestens eine als kritisch einstuft. Allerdings liefert Samsung zu fünf Schwachstellen aus Sicherheitsgründen keine Beschreibung.

LG hat ebenfalls Informationen zu seinen Juli-Patches veröffentlicht. Demnach schließt es zusätzlich fünf Schwachstellen, von denen keine als kritisch eingestuft ist.

Wann kommen die Patches auf mein Gerät?

Wie üblich erhalten die von Google verkauften Pixel-Geräte als erstes die Sicherheitsaktualisierung. Google garantiert für seine Smartphones zwei Jahre lang Betriebssystemupdates und drei Jahre lang Sicherheitsupdates. Auch die mit Android One ausgestatteten Smartphones sollten die Aktualisierungen bald erhalten.

Bei anderen Herstellern dauert es meistens länger, bis die Geräte die Sicherheitsaktualisierungen erhalten. In der Regel werden sie für unterstützte Geräte jedoch im selben Monat ausgeliefert, in dem sie veröffentlicht wurden. Das gilt aber nicht für jeden Hersteller und jedes Modell. Monatliche Sicherheitsupdates garantiert Samsung beispielsweise für seine Galaxy-S- und Note-Smartphones. Auch bestimmte A-Modelle erhalten die monatlichen Sicherheitsaktualisierungen.

Samsung-Security-Updates: Aktueller Status (Screenshot: ZDNet.de)

Gefahr ohne Sicherheitspatches?

Wie eine Analyse des bekannten deutschen IT-Sicherheitsspezialisten Karsten Nohl ergab, schlampen einige Smartphonehersteller bei der Integration der von Google monatlich veröffentlichen Sicherheitspatches. Allerdings reichen ein paar vergessene Sicherheitspatches nicht aus, um ein Android-Smartphone zu kompromittieren: Trotz fehlender Updates sei es für Angreifer nach wie vor schwierig, so Nohl in einem Interview mit Spiegel Online, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt.

Bleiben Sie in Kontakt mit ZDNet.de

ZDNet-Newsletter

Täglich alle relevanten Nachrichten frei Haus.

Jetzt anmelden!

„Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken“, sagt Nohl. Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.

SnoopSnitch analysiert Android-Sicherheitspatches (Bild: ZDNet.de).

Sicherheit: Android überholt iOS

Hinsichtlich der Sicherheit hat Android gegenüber iOS laut einer Untersuchung von Gartner in den letzten Jahren aufgeholt. Während bei den überprüften 16 Geräte-Sicherheitsfunktionen Android-7-Smartphones mit fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Modelle mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Am sichersten sind laut Gartner die Samsung-Smartphones mit Knox-Unterstützung. Sie werden in dreizehn Fällen mit „strong“ bewertet, während iOS 11 nur sieben Mal die Bestnote erhält. Auch im Unternehmensbereich führen Knox-Smartphones laut Gartner. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur fünf von zwölf Kriterien mit „strong“ bewertet werden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago