Android-Patchday: Google schließt acht kritische Sicherheitslücken

Vier davon stecken im Media Framework und in Systemkomponenten, vier weitere befinden sich in Qualcomm-Treibern.

Google hat die Bulletins für den Mai-Patchday seines Mobilbetriebssystems Android veröffentlicht. Wie immer unterteilt es die Sicherheitsupdates auf zwei Level. Der Patch-Level 1. Mai schließt insgesamt zehn Sicherheitslücken, von denen vier mit kritisch eingestuft sind. Letztere erlauben das Einschleusen und Ausführen von Schadcode. Betroffen sind die OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Weitere zwanzig Schwachstellen schließt der Patch-Level 5. Mai, wovon vier als kritisch eingestuft sind.

Android-Patchday: Mai 2019 (Screenshot: ZDNet.de)

Für die Pixel-Smartphones stehen die Updates als Stock-Image bereits zur Verfügung. Auch Over-The-Air (OTA) wird die Aktualisierung bereits ausgeliefert.

Updates anderer Hersteller

Neben Google veröffentlichen auch einige Smartphone-Hersteller monatliche Sicherheitshinweise, die Angaben über die in ihren Geräten gefundenen Schwachstellen enthalten. Diesen Monat berichtet beispielsweise Samsung über insgesamt 21 Lücken, von denen mindestens zwei mit kritisch eingestuft sind.

Aus Sicherheitsgründen nennt Samsung keine Details zu weiteren Schwachstellen, wobei es sich vermutlich ebenfalls um kritische Sicherheitslücken handeln dürfte. Der weltgrößte Smartphonehersteller beginnt mit der Auslieferung der Sicherheitspatches erfahrungsgemäß etwa zwei Wochen nach der Veröffentlichung der neuesten Android-Sicherheitsbulletins. Zudem beinhalten die monatlichen Updates der Smartphoneherstellern wie Samsung nur den ersten Patch-Level. Sicherheitslücken, die Google im Patch-Level 5. Mai beschreibt, werden in der Regel einen Monat später geschlossen.

Monatliche Sicherheitsupdates liefert Samsung nur für bestimmte Smartphone-Modelle aus. In der Regel erhalten monatliche Sicherheitsupdates Geräte, die nicht älter als drei Jahre sind. Erst letzten Monat hatte Samsung angekündigt, dass Galaxy S7 und S7 Edge nur noch alle drei Monate Sicherheitsupdates erhalten. Zuvor wurden die Geräte drei Jahre lang monatlich aktualisiert.

Auch Huawei veröffentlicht seit 2018 monatliche Sicherheitshinweise, die allerdings in der Regel nur Angaben über die die von Google veröffentlichten Android-Schwachstellen enthalten. Informationen zu Lücken, die nur Huawei-Smartphones betreffen, veröffentlicht der Konzern in unregelmäßigen Abständen.

Sicherheit von Smartphones

Google Play Protect (Bild: Google)Sicherheitspatches sind eine wichtige Komponente, um Smartphones vor Angriffen Cyberkrimineller zu schützen. Weitere Sicherheitsschichten wie ein Sandboxing von Anwendungen und Sicherheitsservices wie etwa Google Play Protect sind gleichermaßen wichtig, wie Google in einem Blog erläutert. I

Insgesamt hat sich das Sicherheitsniveau von Android-Smartphones in den letzten Jahren erheblich verbessert. Das bestätigt auch der deutsche Sicherheitsforscher Karsten Nohl in einem Interview mit Spiegel-Online: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Smartphone-Sicherheit: Android vor iOS

Laut einer Untersuchung von Gartner liegt Android inzwischen in Sachen Sicherheit sogar vor iOS, wobei Geräte von Samsung durch die Sicherheitslösung Knox am besten geschützt sind. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur 5 von 12 Parameter mit „strong“ bewertet werden. Bei den von Gartner überprüften 16 Geräte-Sicherheitsfunktion erreicht Samsung Knox in dreizehn Fällen die Bewertung „strong“, während iOS 11 nur sieben Mal die Bestnote erhält. Auch generell holt Android laut Gartner gegenüber iOS auf. Während Smartphones mit Android 7 und fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Smartphones mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Daten zu Android 9 und iOS 12 hat Gartner noch nicht veröffentlicht.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Themenseiten: Android-Patchday, Google

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android-Patchday: Google schließt acht kritische Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *