Android: Google beseitigt zwölf kritische Schwachstellen

Das Over-the-Air-Update, das Google am Montag im Rahmen seines monatlichen Android-Patchdays für seine Nexus-Geräte verfügbar gemacht hat, schließt insgesamt 40 Sicherheitslücken. Zwölf von ihnen werden als kritisch eingestuft. Die Mediaserver-Komponente, in der schon in den vergangenen Monaten immer wieder neue Schwachstellen entdeckt wurden, ist auch diesmal wieder betroffen.

Zwei Lücken im Mediaserver von Android ermöglichen einer Sicherheitsmeldung zufolge “beim Verarbeiten von Mediendateien Remotecodeausführung auf einem betroffenen Gerät durch verschiedene Methoden wie E-Mail, Webbrowsing und MMS”. Die Lücken sollen sich aber via Google Handouts oder Messenger nicht ausnutzen lassen.

Ein Angreifer hat – anders ausgedrückt – die Möglichkeit, über die aufgezeichneten Wege Malware auf einem Android-Gerät einzuschleusen und aufgrund des fehlerhaften Mediaserver auszuführen, da dieser über erhöhte Zugriffsrechte verfügt. Google gibt Alibaba-Sicherheitsforscher Weichao Sun als Entdecker des Problems an. Betroffen sind alle Nexus-Modelle sowie andere Geräte mit Android 4.4.4 KitKat oder neuer.

Weitere zehn kritische Schwachstellen stecken in der Debugger-Komponente, Nvidias Videotreiber, Qualcomms TrustZone und WLAN-Treiber sowie im Kernel. Sie erlauben eine Ausweitung der Zugriffsrechte.

Angreifer könnten zum Beispiel über den Android-Debugger mittels einer manipulierten Datei Schadcode ausführen, so dass der Nutzer im schlimmsten Fall sein Gerät komplett löschen und neu flashen müsste. Das gilt auch für die anderen kritischen Lücken, da deren Ausnutzen laut Google “ein Gerät dauerhaft kompromittieren” kann.

Dem Android-Entwickler zufolge geht von 19 der übrigen 28 Schwachstellen ein hohes Risiko aus. Sie lassen ebenfalls Rechteausweitung und Remotecodeausführung sowie das Ausspähen von Informationen und Denial-of-Service-Angriffe aus der Ferne zu. Google stuft das von den restlichen Lücken ausgehende Risiko in acht Fällen als “moderat” und in einem Fall als “niedrig” ein.

Auf der Entwickler-Website sind ab sofort aktuelle Factory Images für die Nexus-Geräte verfügbar. Das OTA-Update sollte in den kommenden Tagen auf allen Nexus-Geräten eintreffen. Unter dem Einstellungspunkt “Über das Telefon” beziehungsweise “Über das Tablet” können Nutzer überprüfen, ob sie es bereits erhalten haben. Dort sollte mindestens die Android-Sicherheitspatch-Ebene 1. Mai 2016 angezeigt werden.

All diejenigen, die nicht auf das OTA-Update warten wollen und stattdessen ein Factory Image einspielen möchten, sollten beachten, dass dabei in der Regel alle auf dem Gerät gespeicherten Daten verloren gehen. Daher empfiehlt sich zuvor eine Sicherung aller persönlicher Daten wie Fotos und Downloads. Der Artikel “Nexus 4, 5 und 7: Android 5.0 Lollipop installieren” unseres Schwester-Magazins ZDNet.de liefert dazu eine detaillierte Anleitung, die sich auch für Android 6.0.1 anwenden lässt. Sie beschreibt die Installation eines Factory Image mit Hilfe des Skripts Flash-all.bat. Wer die von Google veröffentlichten Systemabbilder verwendet, erhält übrigens auch künftig OTA-Updates.

Wann andere Hersteller ihre Geräte aktualisieren werden, ist wie immer unklar. Unter anderem haben sich neben Google LG und Samsung verpflichtet, monatliche Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Spitzenmodelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de