Google warnt vor Android-Patch-Lücke

Google arbeitet nach eigenen Angaben mit den Herstellern von Android-Smartphones zusammen, um sie dazu zu bringen, schneller Patches für mehrere kritische Fehler im Arm Mali-GPU-Treiber zu veröffentlichen. Viele Android-Smartphones sind anfällig für mehrere hochgradige Sicherheitslücken, über die Google Project Zero im Sommer berichtet hat, die aber noch nicht behoben wurden, obwohl Arm Fixes für sie veröffentlicht hat. Android-Smartphones, die mit Arm Mali-GPUs ausgestattet sind, sind von den ungepatchten Schwachstellen betroffen. Der Google Project Zero (GPZ)-Forscher Ian Beer weist darauf hin, dass sogar die Pixel-Handys von Google anfällig sind, ebenso wie Handys von Samsung, Xiaomi, Oppo und anderen.

„Angreifer werden den Weg des geringsten Widerstands gehen, und solange die Anbieter bei der Behebung von Sicherheitslücken nicht konsequent eine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Behebung bekannter Schwachstellen zu investieren, bevor man nach neuen sucht,“ so Beer. Er fordert alle großen Android-Smartphone-Hersteller auf, genau das zu tun, was den Verbrauchern immer wieder gesagt wird, und ihre Geräte so schnell wie möglich zu patchen. Derzeit können Smartphone-Nutzer selbst keinen Patch für einen Arm Mali-GPU-Treiber anwenden, obwohl Arm bereits vor Monaten Korrekturen für diese Treiber veröffentlicht hat, da kein Hersteller von Android-Smartphones die Korrekturen auf seine Android-Builds angewendet hat.

Fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber

Wie Beer in einem Blogpost anmerkt, hat GPZ-Forscherkollege Jann Horn fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber gefunden, die von GPZ unter den Nummern 2325, 2327, 2331, 2333 und 2334 geführt werden. Diese wurden im Juni und Juli 2022 an Arm gemeldet. Arm hat sie im Juli und August behoben und ihnen die Schwachstellen-Kennung CVE-2022-36449 zugewiesen, sie auf der Arm Mali-Treiber-Schwachstellen-Seite veröffentlicht und den gepatchten Treiber-Quellcode auf seiner öffentlichen Entwickler-Website veröffentlicht. Ein weiterer von Arm behobener Mali-GPU-Fehler wird als CVE-2022-33917 geführt. Beers bezieht sich auf beide Fehler in seinem Bericht über die „Patch-Lücke“ bei den Herstellern von Android-Telefonen.

Seit einigen Monaten haben die Hersteller also die Informationen, um diese Fehler zu beheben, aber bei einer kürzlichen Überprüfung durch GPZ hat keiner der großen Android-Hersteller einen Fix für diese Fehler veröffentlicht. Im Einklang mit seinen eigenen Richtlinien hat GPZ auch die Sperre für den öffentlichen Zugang zu seinen fünf Berichten aufgehoben, was bedeutet, dass jeder, der es möchte, jetzt die meisten Informationen hat, die er braucht, um Exploits für die Fehler zu erstellen, die die meisten modernen Android-Telefone betreffen.

Glücklicherweise scheint es, dass Googles Pixel-Team und Android-Team an dem Fall dran sind. Seit dieser Woche spricht das Android-Team mit den Herstellern von Android-Smartphones (OEMs) und wird sie auffordern, die Schwachstellen zu patchen, um die Sicherheits-Patch-Level-Richtlinie (SPL) der Android-OEMs einzuhalten. Das Pixel-Team wird jedoch erst in einigen Wochen Patches bereitstellen. Andere Android-OEMs werden irgendwann nachziehen.

„Update von Android und Pixel“, schrieb GPZ-Forscher Tim Willis am Dienstag in allen fünf Fehlerberichten.

„Der von Arm bereitgestellte Fix wird derzeit für Android- und Pixel-Geräte getestet und wird in den kommenden Wochen ausgeliefert werden. Android-OEM-Partner müssen den Patch übernehmen, um die zukünftigen SPL-Anforderungen zu erfüllen“, schrieb Willis.

Für Beer ist es eine Erinnerung daran, dass die Hersteller das tun müssen, was den Verbrauchern empfohlen wird.

„Genauso wie den Nutzern empfohlen wird, so schnell wie möglich zu patchen, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen“, schrieb Beer.

Die Minimierung der „Patch-Lücke“ als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können.

„Unternehmen müssen wachsam bleiben, die Upstream-Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so schnell wie möglich vollständige Patches zur Verfügung zu stellen.“

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago