Google warnt vor Android-Patch-Lücke

Google arbeitet nach eigenen Angaben mit den Herstellern von Android-Smartphones zusammen, um sie dazu zu bringen, schneller Patches für mehrere kritische Fehler im Arm Mali-GPU-Treiber zu veröffentlichen. Viele Android-Smartphones sind anfällig für mehrere hochgradige Sicherheitslücken, über die Google Project Zero im Sommer berichtet hat, die aber noch nicht behoben wurden, obwohl Arm Fixes für sie veröffentlicht hat. Android-Smartphones, die mit Arm Mali-GPUs ausgestattet sind, sind von den ungepatchten Schwachstellen betroffen. Der Google Project Zero (GPZ)-Forscher Ian Beer weist darauf hin, dass sogar die Pixel-Handys von Google anfällig sind, ebenso wie Handys von Samsung, Xiaomi, Oppo und anderen.

„Angreifer werden den Weg des geringsten Widerstands gehen, und solange die Anbieter bei der Behebung von Sicherheitslücken nicht konsequent eine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Behebung bekannter Schwachstellen zu investieren, bevor man nach neuen sucht,“ so Beer. Er fordert alle großen Android-Smartphone-Hersteller auf, genau das zu tun, was den Verbrauchern immer wieder gesagt wird, und ihre Geräte so schnell wie möglich zu patchen. Derzeit können Smartphone-Nutzer selbst keinen Patch für einen Arm Mali-GPU-Treiber anwenden, obwohl Arm bereits vor Monaten Korrekturen für diese Treiber veröffentlicht hat, da kein Hersteller von Android-Smartphones die Korrekturen auf seine Android-Builds angewendet hat.

Fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber

Wie Beer in einem Blogpost anmerkt, hat GPZ-Forscherkollege Jann Horn fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber gefunden, die von GPZ unter den Nummern 2325, 2327, 2331, 2333 und 2334 geführt werden. Diese wurden im Juni und Juli 2022 an Arm gemeldet. Arm hat sie im Juli und August behoben und ihnen die Schwachstellen-Kennung CVE-2022-36449 zugewiesen, sie auf der Arm Mali-Treiber-Schwachstellen-Seite veröffentlicht und den gepatchten Treiber-Quellcode auf seiner öffentlichen Entwickler-Website veröffentlicht. Ein weiterer von Arm behobener Mali-GPU-Fehler wird als CVE-2022-33917 geführt. Beers bezieht sich auf beide Fehler in seinem Bericht über die „Patch-Lücke“ bei den Herstellern von Android-Telefonen.

Seit einigen Monaten haben die Hersteller also die Informationen, um diese Fehler zu beheben, aber bei einer kürzlichen Überprüfung durch GPZ hat keiner der großen Android-Hersteller einen Fix für diese Fehler veröffentlicht. Im Einklang mit seinen eigenen Richtlinien hat GPZ auch die Sperre für den öffentlichen Zugang zu seinen fünf Berichten aufgehoben, was bedeutet, dass jeder, der es möchte, jetzt die meisten Informationen hat, die er braucht, um Exploits für die Fehler zu erstellen, die die meisten modernen Android-Telefone betreffen.

Glücklicherweise scheint es, dass Googles Pixel-Team und Android-Team an dem Fall dran sind. Seit dieser Woche spricht das Android-Team mit den Herstellern von Android-Smartphones (OEMs) und wird sie auffordern, die Schwachstellen zu patchen, um die Sicherheits-Patch-Level-Richtlinie (SPL) der Android-OEMs einzuhalten. Das Pixel-Team wird jedoch erst in einigen Wochen Patches bereitstellen. Andere Android-OEMs werden irgendwann nachziehen.

„Update von Android und Pixel“, schrieb GPZ-Forscher Tim Willis am Dienstag in allen fünf Fehlerberichten.

„Der von Arm bereitgestellte Fix wird derzeit für Android- und Pixel-Geräte getestet und wird in den kommenden Wochen ausgeliefert werden. Android-OEM-Partner müssen den Patch übernehmen, um die zukünftigen SPL-Anforderungen zu erfüllen“, schrieb Willis.

Für Beer ist es eine Erinnerung daran, dass die Hersteller das tun müssen, was den Verbrauchern empfohlen wird.

„Genauso wie den Nutzern empfohlen wird, so schnell wie möglich zu patchen, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen“, schrieb Beer.

Die Minimierung der „Patch-Lücke“ als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können.

„Unternehmen müssen wachsam bleiben, die Upstream-Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so schnell wie möglich vollständige Patches zur Verfügung zu stellen.“

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago