Google warnt vor Android-Patch-Lücke

Google arbeitet nach eigenen Angaben mit den Herstellern von Android-Smartphones zusammen, um sie dazu zu bringen, schneller Patches für mehrere kritische Fehler im Arm Mali-GPU-Treiber zu veröffentlichen. Viele Android-Smartphones sind anfällig für mehrere hochgradige Sicherheitslücken, über die Google Project Zero im Sommer berichtet hat, die aber noch nicht behoben wurden, obwohl Arm Fixes für sie veröffentlicht hat. Android-Smartphones, die mit Arm Mali-GPUs ausgestattet sind, sind von den ungepatchten Schwachstellen betroffen. Der Google Project Zero (GPZ)-Forscher Ian Beer weist darauf hin, dass sogar die Pixel-Handys von Google anfällig sind, ebenso wie Handys von Samsung, Xiaomi, Oppo und anderen.

„Angreifer werden den Weg des geringsten Widerstands gehen, und solange die Anbieter bei der Behebung von Sicherheitslücken nicht konsequent eine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Behebung bekannter Schwachstellen zu investieren, bevor man nach neuen sucht,“ so Beer. Er fordert alle großen Android-Smartphone-Hersteller auf, genau das zu tun, was den Verbrauchern immer wieder gesagt wird, und ihre Geräte so schnell wie möglich zu patchen. Derzeit können Smartphone-Nutzer selbst keinen Patch für einen Arm Mali-GPU-Treiber anwenden, obwohl Arm bereits vor Monaten Korrekturen für diese Treiber veröffentlicht hat, da kein Hersteller von Android-Smartphones die Korrekturen auf seine Android-Builds angewendet hat.

Fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber

Wie Beer in einem Blogpost anmerkt, hat GPZ-Forscherkollege Jann Horn fünf ausnutzbare Schwachstellen im Mali-GPU-Treiber gefunden, die von GPZ unter den Nummern 2325, 2327, 2331, 2333 und 2334 geführt werden. Diese wurden im Juni und Juli 2022 an Arm gemeldet. Arm hat sie im Juli und August behoben und ihnen die Schwachstellen-Kennung CVE-2022-36449 zugewiesen, sie auf der Arm Mali-Treiber-Schwachstellen-Seite veröffentlicht und den gepatchten Treiber-Quellcode auf seiner öffentlichen Entwickler-Website veröffentlicht. Ein weiterer von Arm behobener Mali-GPU-Fehler wird als CVE-2022-33917 geführt. Beers bezieht sich auf beide Fehler in seinem Bericht über die „Patch-Lücke“ bei den Herstellern von Android-Telefonen.

Seit einigen Monaten haben die Hersteller also die Informationen, um diese Fehler zu beheben, aber bei einer kürzlichen Überprüfung durch GPZ hat keiner der großen Android-Hersteller einen Fix für diese Fehler veröffentlicht. Im Einklang mit seinen eigenen Richtlinien hat GPZ auch die Sperre für den öffentlichen Zugang zu seinen fünf Berichten aufgehoben, was bedeutet, dass jeder, der es möchte, jetzt die meisten Informationen hat, die er braucht, um Exploits für die Fehler zu erstellen, die die meisten modernen Android-Telefone betreffen.

Glücklicherweise scheint es, dass Googles Pixel-Team und Android-Team an dem Fall dran sind. Seit dieser Woche spricht das Android-Team mit den Herstellern von Android-Smartphones (OEMs) und wird sie auffordern, die Schwachstellen zu patchen, um die Sicherheits-Patch-Level-Richtlinie (SPL) der Android-OEMs einzuhalten. Das Pixel-Team wird jedoch erst in einigen Wochen Patches bereitstellen. Andere Android-OEMs werden irgendwann nachziehen.

„Update von Android und Pixel“, schrieb GPZ-Forscher Tim Willis am Dienstag in allen fünf Fehlerberichten.

„Der von Arm bereitgestellte Fix wird derzeit für Android- und Pixel-Geräte getestet und wird in den kommenden Wochen ausgeliefert werden. Android-OEM-Partner müssen den Patch übernehmen, um die zukünftigen SPL-Anforderungen zu erfüllen“, schrieb Willis.

Für Beer ist es eine Erinnerung daran, dass die Hersteller das tun müssen, was den Verbrauchern empfohlen wird.

„Genauso wie den Nutzern empfohlen wird, so schnell wie möglich zu patchen, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen“, schrieb Beer.

Die Minimierung der „Patch-Lücke“ als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können.

„Unternehmen müssen wachsam bleiben, die Upstream-Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so schnell wie möglich vollständige Patches zur Verfügung zu stellen.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago