Kritische Schwachstellen in Android – PC-WELT
Google hat das November Security Bulletin für Android 8-11 veröffentlicht. Demnach werden durch Sicherheitsupdates mit der Sicherheitsstufe 2020-11-01 auch mehrere als kritisch eingestufte Sicherheitslücken beseitigt.
An jedem ersten Montag im Monat veröffentlicht Google eine
Sicherheitsbulletin
für sein mobiles Android-Betriebssystem. Die neueste Version wurde am 2. November veröffentlicht. In der Sicherheits-Patch-Version 2020-11-01, die für alle einigermaßen aktuellen Android-Geräte gilt, sind insgesamt 20 Sicherheitslücken dokumentiert, die von den Geräteherstellern mit entsprechenden Updates behoben werden sollen.
Das Bulletin vom November listet sechs Sicherheitslücken für das Android-Framework auf. Zwei dieser Sicherheitsanfälligkeiten (CVE-2020-0441, -0442) werden als kritisch eingestuft. Sie betreffen alle Versionen von Android, die noch unterstützt werden, d. H. 8.0 bis 11. Sie können mit speziell vorbereiteten Nachrichten ausgenutzt werden, um einen permanenten DoS-Status auszulösen. Es erinnert sehr an a
WhatsApp-Sicherheitslücke
das wurde im September bekannt.
CVE-2020-0443 kann auch für DoS-Angriffe verwendet werden, diese Sicherheitsanfälligkeit wird jedoch nur als hohes Risiko angesehen. Die anderen drei Schwachstellen des Android-Frameworks werden ebenfalls als hohe Risiken eingestuft. Einige davon betreffen nur einzelne Android-Versionen. Ein Schwachpunkt der Android-Laufzeitumgebung liegt in Android 8-10 und wird als hohes Risiko eingestuft.
Wie so oft liegen die schlimmsten Sicherheitslücken in den Medien. Diesmal handelt es sich um die Sicherheitsanfälligkeit CVE-2020-0451, die zumindest für Android 8, 8.1 und 9 als kritisch eingestuft wird. Dies kann es einem Angreifer ermöglichen, infiltrierten Code mit erhöhten Berechtigungen eines privilegierten Prozesses auszuführen. Dazu müssen die potenziellen Opfer dazu gebracht werden, eine speziell gestaltete Datei wie ein Foto oder Video zu öffnen. Für Android 10 und 11 wird die Sicherheitsanfälligkeit zumindest immer noch als hohes Risiko eingestuft, kann jedoch nur zur Offenlegung von Informationen führen.
➤ Android 11: Diese Smartphones erhalten das Update
Auch im System ist es wichtig, eine Lücke zu schließen, die als kritisch identifiziert wurde. CVE-2020-0449 betrifft Android 8-11 und kann nur von einem Angreifer ausgenutzt werden, der sich in physischer Nähe befindet. Dies deutet auf Funkschnittstellen mit kurzer Reichweite als Gateway wie NFC, Bluetooth und WLAN hin. Bei Erfolg könnte der Angreifer Code mit einer vorbereiteten Übertragung einführen und ihn mit den erhöhten Berechtigungen eines privilegierten Prozesses ausführen.
Hardwarespezifische Sicherheitslücken finden Sie in Security Patch Level 2020-11-05. Dies entspricht ungefähr drei Löchern in MediaTek-SoCs, die als risikoreich eingestuft sind. Zehn Sicherheitslücken betreffen Qualcomm-Komponenten, darunter eine als kritisch identifizierte. Die verbleibenden Lücken gelten als hohes Risiko. Die Details bleiben ein Geschäftsgeheimnis des Chipherstellers.
Richtlinien zur Herstelleraktualisierung
Leider bieten nicht alle Smartphone-Hersteller regelmäßig und relativ schnell Sicherheitsupdates für alle ihre Geräte an. Oft werden nur teure High-End-Modelle mit Updates geliefert. Nur Google Pixel-Geräte erhalten das zugehörige Update fast zeitgleich mit der Veröffentlichung des monatlichen Security Bulletins. Im Rahmen des Google Android One-Programms hat sich HMD Global verpflichtet, drei Jahre lang Sicherheitsupdates für alle Nokia-Modelle bereitzustellen. Aber es dauert ein paar Wochen. Samsung hingegen bietet in einigen Regionen bereits aktuelle Updates an, jedoch nur für einige Topmodelle wie das Galaxy Note 20, das Galaxy Note 10 und das Galaxy S10.
Total Student. Web-Guru. Kaffee-Enthusiast. Leser. Nicht entschuldigender Organisator. Bieranwalt.“