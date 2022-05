Wer ein Android-Gerät besitzt, sollte in den Systemeinstellungen das installierte Patch-Level prüfen. Ist es auf dem Stand Mai 2022, ist die installierte Android-Version aktuell. Neben Google stellen auch etwa LG und Samsung für ausgewählte Geräte monatlich Sicherheitspatches zum Download bereit (siehe Kasten rechts).

Gefährliche Sicherheitslücken

Die Updates sind für Android 10, 11, 12 und 12L verfügbar. Einer Warnmeldung von Google zufolge betreffen die Lücken neben dem System auch das Framework und Kernel-, MediaTek- und Qualcomm-Komponenten. Die aktuellen Patch-Level lauten 2022-05-01 und 2022-05-05.

Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. In den meisten Fällen könnten Angreifer sich höhere Nutzerrechte verschaffen. Klappen solche Attacken, gelten Geräte oft als vollständig kompromittiert. Wie Angriffe in diesen Fällen konkret aussehen könnten, ist bislang nicht bekannt.

An diesem Patchday gilt nur eine Lücke (CVE-2021-35090) als „kritisch“. Diese findet sich in einer Closed-Source-Komponente von Qualcomm. Weiterführende Information zur Schwachstelle gibt es derzeit nicht.

Extra-Wurst-Patches

Geräte aus Googles Pixel-Serie bekommen diesen Monat Extra-Updates. Zwei Lücken (CVE-2022-20120, CVE-2022-20117) im Bootloader und im Sicherheitschip Titan M gelten als „kritisch“ und Angreifer könnten Informationen leaken oder sogar Schadcode ausführen. Weitere Informationen findet man in einem Beitrag von Google.

Die Serien Pixel 3a und Pixel 3a XL bekommen diesen Monat das letzte Mal Sicherheitsupdates. Dann ist der Support ausgelaufen. Bei Pixel 4 und Pixel 4 XL ist das im Oktober 2022 der Fall.

Höhere Prämien für Sicherheitslückenfinder

Mit einer Erhöhung der Belohnung um 50 Prozent bis 26. Mai 2022 will Google Sicherheitsfroscher dazu animieren, Schwachstellen in Android 13 Beta zu finden. Eine Schadcode-Lücke in Titan M kann Entdeckern bis zu 1,5 Millionen US-Dollar einbringen, schreiben die Android-Entwickler. In dem Beitrag findet man auch die Regeln für das qualifizierte Melden von Lücken.

Google gibt an, seit der Gründung seines Bug-Bounty-Programms Anfang 2010 über 29 Millionen US-Dollar an Sicherheitsforscher ausgezahlt zu haben.

(des)