zurück zum Artikel

Google hat in den Android-Versionen 9, 10, 11 und 12 zum Teil kritische Sicherheitslücken geschlossen.

Nach erfolgreichen Attacken auf Android-Geräte könnten Informationen leaken. Auch die Erhöhung von Nutzerrechten oder sogar die Ausführung von Schadcode ist vorstellbar. Aktualisierte Android-Versionen sollen Abhilfe schaffen.

In einer Warnmeldung [1] stuft Google abermals eine „kritische“ Sicherheitslücke (CVE-2021-0967) im Media Framework als am gefährlichsten ein. Die Stagefright-Schwachstellen sorgen schon seit 2015 für Ärger [2]. Wie ein Angriffsszenario aussehen könnte, ist derzeit unklar. Bei anderen Attacken auf das Framework reichte oft das Öffnen einer präparierten Video-Datei. Beispielsweise auf einer Website.

Noch mehr Schwachstellen

Weitere kritische Lücken betreffen das System und diverse Closed-Source-Komponenten von Qualcomm. Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. Android-Nutzer sollten prüfen, ob das Security Patch Level aktuell ist (2021-12-01 oder 2021-12-05). Wie man die installierte Android-Version ausliest und Updates bekommt, führen die Entwickler in einem Support-Beitrag aus [3].

Neben Google liefern auch beispielsweise LG und Samsung monatlich Sicherheitsupdates für Android aus (siehe Kasten). Das passiert aber leider längst nicht für alle Geräteserien.

Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

• BlackBerry [4]
• Fairphone 3 [5]
• Fairphone 4 [6]
• Huawei [7]
• LG [8]
• Motorola [9]
• Nokia [10]
• Oppo [11]
• Samsung [12]
• Sony [13]
• Support für Nexus- und Pixel-Geräte [14]

Geräte der Pixel-Reihe haben diesen Monate jede Menge Extra-Sicherheitspatches bekommen [15]. Darunter sind mehrere Lücken im Bootloader (CVE-2021-39639 „hoch“, CVE-2021-39640 „hoch“, CVE-2021-39644 „hoch“). Hier könnten sich Angreifer höhere Nutzerrechte verschaffen. Die restlichen Lücken sind mit der Einstufung "moderat" versehen.

Wie aus einem Dokument von Google hervorgeht [16], ist der Support für Pixel-3-Modelle und ältere Geräte bereits ausgelaufen. Ab Mai 2022 bekommt dann die Pixel-3a-Serie keine Sicherheitsupdates mehr.

(des [17])

URL dieses Artikels:
https://www.heise.de/-6288959

Links in diesem Artikel:
[1] https://source.android.com/security/bulletin/2021-12-01?hl=en
[2] https://www.heise.de/news/Stagefright-Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html
[3] https://support.google.com/android/answer/7680439?hl=de
[4] https://www.blackberry.com/us/en/services/blackberry-product-security-incident-response
[5] https://support.fairphone.com/hc/en-us/articles/360048139032-Fairphone-OS-releases-for-FP3-FP3-
[6] https://support.fairphone.com/hc/en-us/articles/4405858220945-Fairphone-4-OS-Release-Notes
[7] https://consumer.huawei.com/de/support/bulletin/
[8] https://lgsecurity.lge.com/bulletins/mobile#updateDetails
[9] https://support.motorola.com/us/en/softwareupgrade
[10] https://www.hmd.com/en_int/security-updates
[11] https://security.oppo.com/en/mend
[12] https://security.samsungmobile.com/securityUpdate.smsb
[13] https://xpericheck.com/
[14] https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices
[15] https://source.android.com/security/bulletin/pixel/2021-12-01?hl=en
[16] https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices&zippy=
[17] mailto:des@heise.de

Copyright © 2021 Heise Medien