Fehlende Updates

Sicherheitslücke bedroht Handys von Samsung, Xiaomi, Oppo und Google

Uhr
von Leslie Haeny und msc

Eine Sicherheitslücke, für die es bereits seit einigen Monaten Patches gibt, bedroht noch immer Android-Geräte. Das soll an den Herstellern liegen. Sie versäumten es, die von Chip-Hersteller ARM bereitgestellten Sicherheitsupdates zu übernehmen.

(Source: Suad Kamardeen / Unsplash)
(Source: Suad Kamardeen / Unsplash)

Für die Sicherheitslücken (CVE-2022-36449) gibt es zwar bereits ein Patch-Update, allerdings wurde dieses von Android-Geräteherstellern bisher nicht übernommen oder an die Nutzerinnen und Nutzer ausgespielt. Daher warnen die Forschenden von Project Zero - Googles Team an Securityanalysten - davor. Laut "Golem" sind Geräte von Samsung, Xiaomi, Oppo und weiteren Android-Herstellern, wie auch Googles Pixel-Reihe betroffen.

"Angreifer gehen den Weg des geringsten Widerstands, und solange die Hersteller bei der Behebung von Sicherheitslücken keine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Wiederbelebung bekannter Schwachstellen zu investieren, bevor nach neuen Schwachstellen gesucht wird”, heisst es in einem Blogbeitrag von Project Zero.

Wie "Golem" genauer ausführt, ist der Treiber von ARM für dessen Mali GPUs, der nicht im Hauptzweig des Linux-Kernels gepflegt wird, anfällig. Ein Angreifer könnte mit der Ausführung von nativem Code in einem App-Kontext vollständigen Zugriff auf das System erlangen, das Berechtigungsmodell von Android umgehen und sich umfassenden Zugriff auf Benutzerdaten verschaffen.

ARM reagiert, die anderen Hersteller nicht

Laut den Sicherheitsforschenden hat ARM die gemeldeten Probleme umgehend behoben und sie als Sicherheitsprobleme auf der Seite Arm Mali Driver Vulnerabilities veröffentlicht. Zudem habe der Chip-Hersteller den gepatchten Treiber-Quellcode auf der öffentlichen Entwickler-Website veröffentlicht. Tests bei Geräteherstellern hätten aber gezeigt, dass diese die seit August bereitstehenden Updates von ARM noch nicht übernommen hätten.

"Genauso wie Benutzern empfohlen wird, so schnell wie möglich Patches zu installieren, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen. Die Minimierung der 'Patch-Lücke' als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können", heisst es im Blogbeitrag. Unternehmen müssen laut Project Zero wachsam bleiben, die vorgelagerten Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so bald wie möglich vollständige Patches zur Verfügung zu stellen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_275866