Android-Lücke: Google spricht laute Warnung für mehrere Geräte aus

Googles Project-Zero-Team muss für Geräte aus der Pixel-Serie, aber auch für Modelle von Samsung, LG, Motorola, Oppo und Xiaomi wegen einer Sicherheitslücke Alarm schlagen. Der erforderliche Kernel-Patch liegt vor, jetzt müssen die Hersteller reagieren.

Im Linux-Kernel gepatcht, in Android immer noch offen

Die Sicherheitsforscher des Google Project-Zero melden Sicherheitslücken in verschiedensten Anwendungen und Betriebssystemen, müssen jetzt aber in eigener Sache Alarm schlagen. Wie das Team-Mitglied Maddie Stone laut heise mitteilt, sind Smartphone-Modelle verschiedener Hersteller von einer Lücke betroffen, die im Android-Betriebssystem klafft. Google selbst hat die Sicherheitslücke mit dem Schweregrad "hoch" eingestuft. Infografik: Sicherheitsrisiko Betriebssystem

Nach dieser offiziellen Bestätigung trägt die Lücke die CVE-Kennung CVE-2019-2215 und ist offenbar kein Neuling. Wie Stone erläutert, war die Sicherheitslücke schon Ende 2017 im Linux-Kernel entdeckt und gepatcht worden - da damals aber keine CVE-Nummer vergeben wurde, waren diese Maßnahmen nur schwer nachzuvollziehen. In Android war der entsprechend angepasste Code auch in mehrere Versionen eingeflossen, in einigen Ablegern des Betriebssystems findet sich aber noch heute der Fehler im Kernel.

Wie Stone laut heise in einem Eintrag im Bugtracker für Chromium schreibt, sind nach aktuellem Erkenntnisstand mindestens folgende Modelle von der Lücke betroffen:

Google Pixel 1 / 1 XL und 2 / 2 XL
Huawei P20
Motorola Moto Z3
LG-Smartphones mit Android 8 ("Oreo")
Samsung S7, S8, S9
Oppo A3
Xiaomi Redmi 5A und Redmi Note 5

Google ist bemüht darum zu betonen, dass die Pixel-Modelle 3 und 3A nicht von dem Fehler betroffen sind, da die Entdeckung der Sicherheitslücke per Sourcecode-Vergleich erfolgt war, ist aber nicht auszuschließen, dass auch andere Smartphone-Modelle betroffen sind.

Veröffentlichung nach sieben Tagen

Google Project-Zero lässt sich meist 90 Tage Zeit, um entsprechende Fehler öffentlich zu machen, im aktuellen Fall war die Meldung schon sieben Tage nach der Entdeckung erfolgt. Der Grund: Laut Google gibt es Hinweise darauf, dass der Fehler bereits ausgenutzt wird. Stone schätzt, dass für diese Attacken die israelische NSO Group verantwortlich ist, die Spionage-Software vertreibt.

Für das Pixel 1 und Pixel 2 erfolgt der Kernel-Patch mit dem Oktober-Patchday in den folgenden Tagen. Für die anderen Modelle gilt: Jetzt müssen die Hersteller aktiv werden. Die Lücke an sich ermöglicht nur lokale Angriffe, in Kombination mit einem weiteren Exploit ist aber auch die Ausnutzung aus der Ferne unter bestimmten Voraussetzungen möglich.

Android, Sicherheitslücke, Rowhammer, RAMpage Vrije Universiteit Amsterdam

Mehr zum Thema: Android

Diese Nachricht empfehlen

Kommentieren22

Weitere Nachrichten zum Thema Android-Lücke: Lockscreen lässt sich in unter einer Minute umgehenViele Android-Apps mit gefährlicher Schwachstelle im Google Play StoreAndroid 10: Google löst großen Rückstau bei Sicherheitslücken aufGoogle warnt USA: Huawei-eigenes Android größeres SicherheitsrisikoAndroid: Google verpflichtet Hersteller jetzt zu Sicherheits-UpdatesSicherheitslücke im Android-Installer von Fortnite, Epic reagiert sofort