Android-Lücke: Google spricht laute Warnung für mehrere Geräte aus

Googles Project-Zero-Team muss für Geräte aus der Pixel-Serie, aber auch für Modelle von Samsung, LG, Motorola, Oppo und Xiaomi wegen einer Sicherheitslücke Alarm schlagen. Der erforderliche Kernel-Patch liegt vor, jetzt müssen die Hersteller reagieren.
Android, Sicherheitslücke, Rowhammer, RAMpage
Vrije Universiteit Amsterdam

Im Linux-Kernel gepatcht, in Android immer noch offen

Die Sicherheitsforscher des Google Project-Zero melden Sicherheitslücken in verschiedensten Anwendungen und Betriebssystemen, müssen jetzt aber in eigener Sache Alarm schlagen. Wie das Team-Mitglied Maddie Stone laut heise mitteilt, sind Smartphone-Modelle verschiedener Hersteller von einer Lücke betroffen, die im Android-Betriebssystem klafft. Google selbst hat die Sicherheitslücke mit dem Schweregrad "hoch" eingestuft. Infografik: Sicherheitsrisiko BetriebssystemSicherheitsrisiko Betriebssystem Nach dieser offiziellen Bestätigung trägt die Lücke die CVE-Kennung CVE-2019-2215 und ist offenbar kein Neuling. Wie Stone erläutert, war die Sicherheitslücke schon Ende 2017 im Linux-Kernel entdeckt und gepatcht worden - da damals aber keine CVE-Nummer vergeben wurde, waren diese Maßnahmen nur schwer nachzuvollziehen. In Android war der entsprechend angepasste Code auch in mehrere Versionen eingeflossen, in einigen Ablegern des Betriebssystems findet sich aber noch heute der Fehler im Kernel.

Wie Stone laut heise in einem Eintrag im Bugtracker für Chromium schreibt, sind nach aktuellem Erkenntnisstand mindestens folgende Modelle von der Lücke betroffen:

  • Google Pixel 1 / 1 XL und 2 / 2 XL
  • Huawei P20
  • Motorola Moto Z3
  • LG-Smartphones mit Android 8 ("Oreo")
  • Samsung S7, S8, S9
  • Oppo A3
  • Xiaomi Redmi 5A und Redmi Note 5

Google ist bemüht darum zu betonen, dass die Pixel-Modelle 3 und 3A nicht von dem Fehler betroffen sind, da die Entdeckung der Sicherheitslücke per Sourcecode-Vergleich erfolgt war, ist aber nicht auszuschließen, dass auch andere Smartphone-Modelle betroffen sind.

Veröffentlichung nach sieben Tagen

Google Project-Zero lässt sich meist 90 Tage Zeit, um entsprechende Fehler öffentlich zu machen, im aktuellen Fall war die Meldung schon sieben Tage nach der Entdeckung erfolgt. Der Grund: Laut Google gibt es Hinweise darauf, dass der Fehler bereits ausgenutzt wird. Stone schätzt, dass für diese Attacken die israelische NSO Group verantwortlich ist, die Spionage-Software vertreibt.

Für das Pixel 1 und Pixel 2 erfolgt der Kernel-Patch mit dem Oktober-Patchday in den folgenden Tagen. Für die anderen Modelle gilt: Jetzt müssen die Hersteller aktiv werden. Die Lücke an sich ermöglicht nur lokale Angriffe, in Kombination mit einem weiteren Exploit ist aber auch die Ausnutzung aus der Ferne unter bestimmten Voraussetzungen möglich.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!