Google zufolge nehmen Angreifer zurzeit vier Sicherheitslücken in Android ins Visier. Drei Lücken sind mit dem Bedrohungsgrad „hoch“ eingestuft. Für die hauseigenen im Support befindlichen Pixel-Geräte sind gegen die Angriffe abgesicherte Android-Versionen erschienen. Auch andere Hersteller bieten Sicherheitsupdates an. Doch viele Geräte bleiben auf der Strecke und bekommen gar keine Updates mehr.

Root-Lücken

Die Informationen zu den Attacken gehen aus einer von Google aktualisierten Warnmeldung zum Android-Patchday Mai 2021 hervor. Das Unternehmen spricht von Hinweisen auf gezielte Attacken in begrenztem Umfang. Konkretere Informationen zu den Ausmaßen der Attacken gibt es derzeit nicht.

Die Lücken betreffen Komponenten von ARM (Mali-GPU-Treiber) und Qualcomm (GPU). Wie konkrete Attacken aussehen könnten, ist derzeit unklar. Sind Attacken erfolgreich, könnten Angreifer Speicherfehler auslösen und Schadcode ausfüllen. Einem Beitrag von ARM zufolge soll das mit Root-Rechten möglich sein.

Die Update-Situation

Das Problem bei Android ist, dass viele Geräte gar keine Sicherheitsupdates mehr bekommen. Das liegt vor allem an vergleichsweise kurzen Support-Zeitfenstern. Für Googles komplette Nexus-Serie gibt es seit November 2018 keine Sicherheitspatches mehr. Das erste Smartphone der Pixel-Serie erschien im Oktober 2016. Im Oktober 2019 lief der Support mit Sicherheitsupdates aus. Als nächstes bekommt im Oktober 2021 die Pixel-3-Serie keine Unterstützung seitens Google mehr.

Lesen Sie auch Warum es mit Upgrades bei Android hakt, erläutert an Linux beim Raspberry Pi

Schuld an der schlechten Update-Situation ist aber auch, dass viele Hersteller von ihnen modifizierte Android-Versionen einsetzen, die sich oft nicht direkt mit den Updates von Google vertragen. Um diesem Missstand entgegenzuwirken, hat Google 2017 das Project Treble ins Leben gerufen. Dabei handelt es sich um eine Anpassung in der System-Architektur seit Android 8 Oreo. Dadurch können Hersteller beispielsweise Sicherheitsupdates von Qualcomm & Co. einfacher implementieren.

Licht am Ende des Tunnels

Demzufolge hat sich die Update-Situation in den vergangenen Jahren durchaus verbessert. So veröffentlichen neben Google beispielsweise auch BlackBerry, LG und Samsung monatliche Sicherheitsupdates (siehe Kasten rechts). Das Problem mit dem vergleichsweise kurzen Support-Zeitfenster bleibt aber bestehen. Das geht aktuell Samsung an und verspricht vier Jahre nach Erstveröffentlichung eines Gerätes regelmäßig Sicherheitsupdates zur Verfügung zu stellen.

(des)