Android-Lücke: Google spricht laute Warnung für mehrere Geräte aus

Android, Sicherheitslücke, Rowhammer, RAMpage Bildquelle: Vrije Universiteit Amsterdam
Googles Project-Zero-Team muss für Geräte aus der Pixel-Serie, aber auch für Modelle von Samsung, LG, Motorola, Oppo und Xiaomi wegen einer Sicherheitslücke Alarm schlagen. Der erforderliche Kernel-Patch liegt vor, jetzt müssen die Hersteller reagieren.

Im Linux-Kernel gepatcht, in Android immer noch offen

Die Sicherheitsforscher des Google Project-Zero melden Sicherheitslücken in verschiedensten Anwendungen und Betriebssystemen, müssen jetzt aber in eigener Sache Alarm schlagen. Wie das Team-Mitglied Maddie Stone laut heise mitteilt, sind Smartphone-Modelle verschiedener Hersteller von einer Lücke betroffen, die im Android-Betriebssystem klafft. Google selbst hat die Sicherheitslücke mit dem Schweregrad "hoch" eingestuft. Infografik: Sicherheitsrisiko BetriebssystemSicherheitsrisiko Betriebssystem Nach dieser offiziellen Bestätigung trägt die Lücke die CVE-Kennung CVE-2019-2215 und ist offenbar kein Neuling. Wie Stone erläutert, war die Sicherheitslücke schon Ende 2017 im Linux-Kernel entdeckt und gepatcht worden - da damals aber keine CVE-Nummer vergeben wurde, waren diese Maßnahmen nur schwer nachzuvollziehen. In Android war der entsprechend angepasste Code auch in mehrere Versionen eingeflossen, in einigen Ablegern des Betriebssystems findet sich aber noch heute der Fehler im Kernel.

Wie Stone laut heise in einem Eintrag im Bugtracker für Chromium schreibt, sind nach aktuellem Erkenntnisstand mindestens folgende Modelle von der Lücke betroffen:

  • Google Pixel 1 / 1 XL und 2 / 2 XL
  • Huawei P20
  • Motorola Moto Z3
  • LG-Smartphones mit Android 8 ("Oreo")
  • Samsung S7, S8, S9
  • Oppo A3
  • Xiaomi Redmi 5A und Redmi Note 5

Google ist bemüht darum zu betonen, dass die Pixel-Modelle 3 und 3A nicht von dem Fehler betroffen sind, da die Entdeckung der Sicherheitslücke per Sourcecode-Vergleich erfolgt war, ist aber nicht auszuschließen, dass auch andere Smartphone-Modelle betroffen sind.

Veröffentlichung nach sieben Tagen

Google Project-Zero lässt sich meist 90 Tage Zeit, um entsprechende Fehler öffentlich zu machen, im aktuellen Fall war die Meldung schon sieben Tage nach der Entdeckung erfolgt. Der Grund: Laut Google gibt es Hinweise darauf, dass der Fehler bereits ausgenutzt wird. Stone schätzt, dass für diese Attacken die israelische NSO Group verantwortlich ist, die Spionage-Software vertreibt.

Für das Pixel 1 und Pixel 2 erfolgt der Kernel-Patch mit dem Oktober-Patchday in den folgenden Tagen. Für die anderen Modelle gilt: Jetzt müssen die Hersteller aktiv werden. Die Lücke an sich ermöglicht nur lokale Angriffe, in Kombination mit einem weiteren Exploit ist aber auch die Ausnutzung aus der Ferne unter bestimmten Voraussetzungen möglich. Android, Sicherheitslücke, Rowhammer, RAMpage Android, Sicherheitslücke, Rowhammer, RAMpage Vrije Universiteit Amsterdam
Mehr zum Thema: Android
Diese Nachricht empfehlen
Kommentieren22
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden