Menü
Alert!
Security

Patchday: Google schließt kritische Lücken in Pixel-Geräten

Wichtige Sicherheitsupdates schließen mehrere Schwachstellen im Android-System und Komponenten von Drittherstellern.

vorlesen Drucken Kommentare lesen 10 Beiträge

Besitzer von Google-Smartphones und -Tablets der Pixel-Serie sollten sicherstellen, dass ihre Geräte auf dem aktuellen Patchstand 2019-05-05 sind. Ansonsten könnten Angreifer in einigen Fällen mit vergleichsweise geringem Aufwand Geräte aus der Ferne attackieren und im schlimmsten Fall übernehmen.

In einer Sicherheitswarnung listet Google die Sicherheitslücken auf. Darin versichern sie auch, dass sie derzeit noch keine Attacken auf die Schwachstellen beobachtet haben. Als "kritisch" eingestufte Lücken finden sich beispielsweise im Media Framework, im System und in Komponenten von Drittherstellern wie Broadcom und Nvidia.

Android-Patchday

Neben Google veröffentlichen nur wenige weitere große Hersteller regelmäßig Sicherheitspatches - und das auch nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht. Letzteres ist leider die Regel.

mehr anzeigen

Um diese auszunutzen, muss ein Angreifer einem Opfer beispielsweise eine manipulierte Mediendatei unterjubeln, die das Opfer öffnen muss. Diese Schwachstelle findet sich im Media Framework Stagefright. Seit Jahren gibt es kaum einen Android-Patchday, an dem keine Stagefright-Lücken vorkommen. Für einige Attacken benötigt ein Angreifer lokalen Zugriff auf ein Gerät.

Nexus-Geräte bekommen schon seit Ende vergangenen Jahres keine Sicherheitsupdates mehr – der Support ist ausgelaufen. Bei Googles aktueller Pixel-Serie ist das für die ersten Geräte im Oktober 2019 der Fall.

Global betrachtet ist die Verteilung von aktuellen und abgesicherten Android-Versionen eine Katastrophe. Dieser Missstand hat sich mittlerweile etwas verbessert, da neben Google nun auch etwa LG, Huawei und Nokia monatlich Sicherheitspatches (siehe Kasten rechts) für zumindest einige Android-Geräte veröffentlichen.

Google gibt an, Hersteller einen Monat vor der Veröffentlichung von Details zu Sicherheitslücken zu benachrichtigen. Der Source-Code von Patches befindet sich im Android Open Source Project (AOSP). (des)