Im Android Security Bulletin für Mai 2017 führt Google Einzelheiten zu Schwachstellen auf, die in diesem Monat mit Patches behoben werden. Demnach erhalten Nexus-Geräte ein automatisches OTA-Sicherheits-Update, Factory-Images sind auf Googles Entwickler-Website verfügbar. Hardware-Partner wurden über die beschriebenen Sicherheitsprobleme spätestens am 3. April 2017 informiert.
Besonders schwerwiegend ist eine als kritisch eingestufte Schwachstelle, die auf betroffenen Geräten Remotecodeausführung auf verschiedenen Wegen wie E-Mail, Websurfen und MMS bei der Verarbeitung von Mediendateien erlaubt. Laut Google liegen bislang keine Berichte über die Ausnutzung der jetzt enthüllten Anfälligkeiten vor. Das Bulletin gruppiert die Sicherheits-Patches erneut in zwei Ebenen, um Herstellungspartnern die flexible und schnelle Behebung von Schwachstellen zu erlauben, die auf allen Android-Geräten in ähnlicher Weise auftreten.
Als kritisch eingestuft ist in der Sicherheitspatch-Ebene 1. Mai 2017 weiterhin eine Schwachstelle in den Framework-APIs, durch die eine lokale bösartige Anwendung höhere Berechtigungen erlangen könnte. Sie ist deshalb gefährlich, weil sich damit allgemeine Schutzvorkehrungen umgehen lassen, die Anwendungsdaten gegenüber anderen Anwendungen isolieren.
Im Mediaserver sowie im Audioserver wurden Schwachstellen hinsichtlich erhöhten Berechtigungen entdeckt, die einer Anwendung die Ausführung beliebigen Programmcodes ermöglichen könnte. Sie erhielte damit Befugnisse, die der Anwendung eines Drittanbieters normalerweise nicht zugänglich sind.
Mit einigen Schritten und kostenlosen Tools können sich Anwender effizient vor Angriffen in unsicheren WLANs schützen und Notebook, Smartphone und Tablets absichern. Die Kollegen der silicon.de-Schwestersite ZDNet.de erklären in ihrem Beitrag, wie das funktioniert.
Gravierend ist außerdem eine Denial-of-Service-Lücke im Mediaserver. Ein Angreifer könnte eine entsprechend präparierte Datei nutzen, um aus der Ferne ein Gerät zum Einfrieren zu bringen oder einen Neustart auszulösen.
Eine ganze Reihe von Schwachstellen wurden zudem als mäßig oder nur wenig gefährlich eingestuft. Weitere kritische Sicherheitslücken finden sich aber auch in der Sicherheitspatch-Ebene 5. Mai 2017, die häufig in den Treibern einzelner Hersteller entdeckt wurden.
Für seine Flaggschiff-Modelle hat auch Samsung im Rahmen seines monatlichen Programms Security Maintenance Release (SMR) inzwischen ein Wartungs-Update freigegeben. Die Sammlung des koreanischen Herstellers schließt Patches bis zu Googles Mai-Sicherheitsbulletin ein und behebt 11 weitere Schwachstellen seiner Geräte, deren Gefährdungspotenzial als mittelmäßig oder gering eingeschätzt wurde.
Wann erhalten Smartphones die Sicherheits-Updates?
Google hat bereits Firmware-Images mit den Mai-Sicherheits-Updates veröffentlicht. Auch mit OTA-Updates soll bereits begonnen worden sein. Nutzer von unterstützten Nexus-Smartphones sollten das Update aldo in Kürze erhalten.
Auch für die Samsung-Flaggschiffe sollten die Updates bald zur Verfügung stehen. Zusammen mit Sony und LG hatte Samsung nach dem Bekanntwerden der Stagefright-Lücken versprochen, Sicherheits-Updates monatlich auszuliefern. Tatsächlich müssen Galaxy-Anwender jedoch meistens etwas länger warten, bis sie Sicherheitsaktualisierungen erhalten, weil die Mobilfunkprovider den Update-Prozess selbst steuern. Während hierzulande Vodafone regelmäßig Updates ausliefert, müssen sich Kunden anderer Provider meist etwas länger gedulden. Auch bei den freien Geräte, die von Samsung selbst gewartet werden, ist mit Wartezeiten zu rechnen.
Dennoch ist die Update-Situation bei Samsung noch eher als gut zu bezeichnen, wenn man andere große Hersteller betrachtet. Von LG gibt es für das G3 seit geraumer Zeit keine Sicherheits-Updates mehr. Samsung leifert für das in etwa zeitgleich auf den Markt gekommene Galaxy S5 noch Aktualisierungen aus. Nutzer, denen Sicherheit wichtig ist, sollten bei der Neuanschaffung eines Smartphones die Update-Historie der Hersteller genau unter die Lupe nehmen.
Google und Samsung haben versprochen, zumindest ihre Flaggschiff-Modelle zwei Jahre lang mit neuen Android-Versionen zu aktualisieren. Die Auslieferung von Sicherheits-Updates unterstützen beide drei Jahre lang.
Um aktuelle Sicherheitspatches zu erhalten, bleibt Nutzern nach dieser Zeit noch der Ausweg über die Installation einer alternativen Firmware wie LineageOS. Die aus dem CyneogenMod-Projekt hervorgegangene Android-ROM unterstützt Smartphones deutlich länger mit Sicherheits-Updates und neuen Android-Versionen als die Hersteller der Telefone. So steht beispielsweise für das 2011 erschienene Galaxy SII Android 7.1.2 inklusive aktueller Sicherheitspatches zur Verfügung.
Weitere Artikel zum Thema