Die Android-Entwickler haben mehrere Sicherheitslücken in aktuellen Version von Android 8.0, 8.1, 9 und 10 geschlossen. Einige Lücken gelten als "kritisch". Besitzer von Android-Geräten sollten in den Einstellungen das installierte Patchlevel prüfen.
Steht dort 2020-07-01 oder 2020-07-05 ist das Gerät auf dem aktuellen Stand. Die Version mit dem älteren Datum enthält neben den aktuellen Sicherheitspatches auch alle vorigen Updates. Neben Google stellen noch weitere Hersteller von Android-Geräten monatlich abgesicherte Versionen bereit (siehe Kasten rechts).
Kritische Lücken
Als kritisch eingestufte Schwachstellen finden sich in verschiedenen Broadcom- und Qualcomm-Komponenten, Media Framework und dem System. Für erfolgreiche Attacken muss ein Angreifer Opfern eine präparierte Datei oder eine manipulierte Nachricht unterschieben. Anschließend soll die Ausführung von Schadcode mit teilweise weitreichenden Rechten möglich sein, führt Google in einer Warnmeldung aus.
Das von den weiteren Schwachstellen ausgehende Sicherheitsrisiko ist mit "hoch" eingestuft. Hier könnten sich Angreifer beispielsweise höhere Nutzerrechte verschaffen. Wie einem "Update Bulletin" zu entnehmen ist, hat Google für seine Pixel-Serie noch weitere als "moderat" gekennzeichnete Sicherheitsupdates veröffentlicht. Im Oktober 2020 läuft der Support für die Geräte Pixel 2 und Pixel 2 XL aus. Ab dann bekommen die Geräte keine Sicherheitsupdates mehr.
Google gibt an, Android-Hersteller mindestens einen Monat vor der Veröffentlichung von Infos zu den Lücken benachrichtigt zu haben. Seitdem hatten die Hersteller Zeit, den Code zu implementieren. Der Source Code für die Patches ist im Android Open Soruce Project (AOSP) verfügbar.
Quelle: Patchday: Kritische Sicherheitslücken bedrohen Android-Smartphones | heise online