Android-Patchday: Google schließt im August 71 Sicherheitslücken

Google hat zusammen mit Android 9 Pie auch die Sicherheitsupdates für den Monat August veröffentlicht. In zwei Sicherheitsbulletins beschreibt Google insgesamt 71 Anfälligkeiten, die zum Teil als kritisch bewertet sind. Sie erlauben unter Umständen das Einschleusen und Ausführen von Malware mithilfe einer schädlichen App, die sich ohne Interaktion mit dem Nutzer zusätzliche Berechtigungen aneignen könnte.

Wie immer verteilt Google die Fixes auf zwei Sicherheitspatch-Ebenen sowie ein Update für Pixel- und Nexus-Smartphones. Letzteres kann jedoch auch Geräte von anderen Herstellern betreffen. Allerdings sind Fixes für die Anfälligkeiten im Pixel/Nexus-Bulletin keine Voraussetzung für das Erreichen einer Sicherheitspatch-Ebene.

Betroffen sind unter anderem die Android-Komponenten Framework, System, Media Framework, Kernel sowie Komponenten von Qualcomm. Die Fehler stecken in den Android-Versionen 6.x, 7.x und 8. Sie ermöglichen außerdem den Diebstahl von vertraulichen Informationen, eine nicht autorisierte Ausweitung von Nutzerrechten und in Einzelfällen auch Denial-of-Service-Angriffe.

Google verteilt die Updates Over-the-Air an seine Geräte. Auf der Entwickler-Seite des Unternehmens stehen zudem aktuelle Firmware-Images zum Download bereit.

Neben Google haben auch LG und Samsung Details zu ihren jüngsten Sicherheitspatches veröffentlicht, die sie nun schrittweise an berechtigte Geräte verteilen. Im Fall von Samsung erhielt das Galaxy S9 die Aktualisierung sogar schon vor den Google-Geräten.

LG stopft zusätzlich zu den von Google gemeldeten Bugs noch ein Loch in seiner eigenen Software. Es betrifft Geräte mit Android 6.x, 7.x und 8.x. Samsungs August-Patch beinhaltet sogar sechs zusätzliche Fixes, die unter anderem Fehler in der Trusted Execution Environment von Exynos-Chipsätzen sowie in WLAN-Chips von Broadcom korrigieren.

Gefahr durch fehlende Sicherheitsupdates?

Das Problem fehlender Sicherheitsupdates stuft der bekannte deutsche Sicherheitsexperte Karsten Nohl als nicht sehr gravierend ein. In einem Interview mit Spiegel Online sagte er: „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen stattdessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“ Um die Hürde für Cyberkriminelle hochzuhalten, sei es jedoch wichtig, dass möglichst viele Smartphones mit monatlichen Sicherheitsupdates versorgt werden.