zurück
Nov
25
2022

Fehlende Updates im Pixel – Google warnt

Google versäumt wieder, bei bekannten Lücken die bereits vorhandenen Patches an die eigenen Pixel-Geräte zu verteilen. Samsung, Xiaomi und Oppo sind ebenfalls betroffen.  

In Googles Project Zero warnten Sicherheitsforscher bereits vor einer Sicherheitslücke in zahlreichen Android-Geräten, für die jedoch schon länger ein Patch-Update bereitsteht. dies sei bisher aber nicht von den Android-Geräteherstellern übernommen oder an die Nutzer ausgespielt worden. Geräte von Samsung, Xiaomi, Oppo und anderen sind demnach betroffen - auch die Pixel-Serie von Google.  

Der Treiber von ARM für dessen Mali GPUs ist konkret von den Sicherheitslücken (CVE-2022-36449) betroffen, der nicht im Hauptzweig des Linux-Kernels gepflegt wird. Es handelt sich bei diesen Lücken um typische Speicherfehler. Zu dem Potenzial der Lücken heißt es: "Ein Angreifer mit nativer Codeausführung in einem App-Kontext könnte vollen Zugriff auf das System erhalten, das Berechtigungsmodell von Android umgehen und einen umfassenden Zugriff auf Benutzerdaten ermöglichen."

Die Lücken wurden durch einen Audit des Codes durch Jann Horn gefunden. Diesen Audit wurde wiederum durch die Erkenntnis von Maddie Stone initiiert, dass es sich bei den aktiv ausgenutzten Sicherheitslücken oft um Varianten bereits bekannter Probleme handele. Dies zeigte Stone am Beispiel von Lücken in dem Mali-GPU-Treiber, die aktiv ausgenutzt werden.

In dem von den Sicherheitsforschern veröffentlichten Blogeintrag heißt es, dass die gefundenen und gemeldeten Lücken durch Horn zuvor wahrscheinlich zur Nutzung in Malware gehandelt worden seien. Umso wichtiger sollte demnach das rasche Schließen der Lücken sein. Dem ist ARM auch direkt nachgekommen. Dass diese die seit August bereitstehenden Updates von ARM noch nicht übernommen haben, hätten anschließende Tests bei den Geräteherstellern gezeigt.

Android-Updates bereiten immer wieder Probleme

Google arbeitet zwar seit Jahren an verschiedenen technischen Lösungen, die es leichter machen sollen, auch sicherheitskritische Android-Updates schnell verteilen zu können. Unter anderem machen Neuerungen in Android 12 (g+) es möglich. Wie wir bereits im Fall des Pixel 6 im vergangenen Jahr kritisiert haben, hat Google selbst diese aber noch nicht ausreichend umsetzt. Google konnte immer noch kein gutes oder schnell funktionierendes System etablieren und so wird die Update-Politik beim Linux-Kernel und den genutzten Treibern merklich schwieriger. Im Jahr 2019 vergaß Google bereits das Einspielen des Patches für Sicherheitslücken.

Die Hersteller wurden von den Sicherheitsforschern des Project Zero dazu aufgefordert, derartige Patch-Lücken schneller zu schließen und enger mit ihren Upstream-Projekten zusammen zu arbeiten. Offenbar gilt dies auch für Google selbst. In einem Bugreport heißt es, dass die Updates für die Pixel in den kommenden Wochen bereitstehen sollen.