Android-Lücke: Google spricht laute Warnung für mehrere Geräte aus

Von John Woll am 04.10.2019 19:10 Uhr
22 Kommentare
Googles Project-Zero-Team muss für Geräte aus der Pixel-Serie, aber auch für Modelle von Samsung, LG, Motorola, Oppo und Xiaomi wegen einer Sicherheitslücke Alarm schlagen. Der erforderliche Kernel-Patch liegt vor, jetzt müssen die Hersteller reagieren.

Im Linux-Kernel gepatcht, in Android immer noch offen

Die Sicherheitsforscher des Google Project-Zero melden Sicherheitslücken in verschiedensten Anwendungen und Betriebssystemen, müssen jetzt aber in eigener Sache Alarm schlagen. Wie das Team-Mitglied Maddie Stone laut heise mitteilt, sind Smartphone-Modelle verschiedener Hersteller von einer Lücke betroffen, die im Android-Betriebssystem klafft. Google selbst hat die Sicherheitslücke mit dem Schweregrad "hoch" eingestuft.

Sicherheitsrisiko Betriebssystem

Nach dieser offiziellen Bestätigung trägt die Lücke die CVE-Kennung CVE-2019-2215 und ist offenbar kein Neuling. Wie Stone erläutert, war die Sicherheitslücke schon Ende 2017 im Linux-Kernel entdeckt und gepatcht worden - da damals aber keine CVE-Nummer vergeben wurde, waren diese Maßnahmen nur schwer nachzuvollziehen. In Android war der entsprechend angepasste Code auch in mehrere Versionen eingeflossen, in einigen Ablegern des Betriebssystems findet sich aber noch heute der Fehler im Kernel.

Wie Stone laut heise in einem Eintrag im Bugtracker für Chromium schreibt, sind nach aktuellem Erkenntnisstand mindestens folgende Modelle von der Lücke betroffen:


Google ist bemüht darum zu betonen, dass die Pixel-Modelle 3 und 3A nicht von dem Fehler betroffen sind, da die Entdeckung der Sicherheitslücke per Sourcecode-Vergleich erfolgt war, ist aber nicht auszuschließen, dass auch andere Smartphone-Modelle betroffen sind.

Veröffentlichung nach sieben Tagen

Google Project-Zero lässt sich meist 90 Tage Zeit, um entsprechende Fehler öffentlich zu machen, im aktuellen Fall war die Meldung schon sieben Tage nach der Entdeckung erfolgt. Der Grund: Laut Google gibt es Hinweise darauf, dass der Fehler bereits ausgenutzt wird. Stone schätzt, dass für diese Attacken die israelische NSO Group verantwortlich ist, die Spionage-Software vertreibt.

Für das Pixel 1 und Pixel 2 erfolgt der Kernel-Patch mit dem Oktober-Patchday in den folgenden Tagen. Für die anderen Modelle gilt: Jetzt müssen die Hersteller aktiv werden. Die Lücke an sich ermöglicht nur lokale Angriffe, in Kombination mit einem weiteren Exploit ist aber auch die Ausnutzung aus der Ferne unter bestimmten Voraussetzungen möglich.
whatsapp
Jede Woche neu: Top-News per E-Mail
22 Kommentare lesen & antworten
Verwandte Themen
Android Samsung Galaxy S10 Samsung Electronics
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz