Google behebt fünf schwerwiegende Schwachstellen in Android 5.x und 6.x
Eine Lücke in der Medienserver-Komponente ermöglicht das Einschleusen und Ausführen von Schadcode. Weitere Schwachstellen finden sich im Android-Kernel sowie den Komponenten WLAN, Bluetooth, Setup Wizard und SyncManager. Das Januar-Sicherheitsupdate liefert Fehlerkorrekturen für insgesamt 12 Anfälligkeiten.
Google hat die Januar-Sicherheitsaktualisierung für Android veröffentlicht. Es ist ab sofort für die hauseigenen Nexus-Geräte und demnächst auch für das Android Open Source Project für die Versionen Android 5x und 6.x verfügbar. Das Update beinhaltet Fehlerkorrekturen für insgesamt 12 Schwachstellen. Fünf davon klassifiziert der Internetkonzern als schwerwiegend. Von zwei Anfälligkeiten geht hingegen ein hohes Risiko aus, die restlichen stuft Google als “moderat” ein.
Schwerwiegend ist unter anderem eine Sicherheitslücke in der Mediaserver-Komponente. Sie findet sich in Android 5.0, 5.1.1, 6.0 und 6.0.1. Eine speziell präparierte Mediendatei kann einen Speicherfehler bewirken und für das Einschleusen und Ausführen von Schadcode ausgenutzt werden. Google verweist darauf, dass der Medienserver Zugriff auf Audio- und Videostreams hat und über Berechtigungen verfügt, die Android für gewöhnlich Drittanbieter-Anwendungen nicht zugesteht.
Drei weitere gravierende Anfälligkeiten ermöglichen eine Ausweitung von Benutzerrechten. Betroffen sind Treiber von MediaTek und Imagination Technologies sowie der Android-Kernel. In allen drei Fällen ist es möglich, Code innerhalb des Kernels auszuführen. Eine Schadsoftware, die diese Lücke ausnutzt, kann Google zufolge nur durch erneutes Flashen des Betriebssystems entfernt werden, wodurch alle gespeicherten Daten und Einstellungen verloren gehen. Das gilt auch für einen Fehler in der Widevine QSSE TrustZone.
Darüber hinaus hat Google Lücken in den Komponenten Bluetooth, Setup Wizard, WLAN, SyncManager und Bouncy Castle geschlossen. Durch sie könnte ein Angreifer WLAN-Informationen abgreifen, Einstellungen verändern oder ein Android-Gerät manuell zurücksetzen. Darüber hinaus lassen sich auf diese Weise Kontaktdaten und andere persönliche Daten ausspähen oder eine Reboot-Schleife auslösen.
Auf Googles Entwickler-Site stehen ab sofort aktualisierte Factory Images für die Nexus-Geräte mit Android 5.1 und Android 6.0 zum Download bereit. Die OTA-Updates folgen in den nächsten Tagen. Ob ihr Gerät vor diesen Bedrohungen geschützt ist, können Besitzer von Nexus-Geräten in den Einstellungen unter dem Punkt „über das Telefon/Tablet“ überprüfen. Dort sollte bei Android 5 Lollipop mindestens das Build LMY49F und bei Android 6 Marshmallow zumindest die Android-Sicherheitspatch-Ebene 1. Januar 2016 angezeigt werden.
Wann andere Hersteller ihre Geräte aktualisieren, ist nicht bekannt. Neben Google haben sich zwar auch LG und Samsung dazu verpflichtet, einmal im Monat Sicherheitsupdates für ihre Android-Geräte verfügbar zu machen, Samsung beschränkt die Zusage für seinen Teil allerdings auf einige wenige Spitzen-Smartphonemodelle. HTC hält das Versprechen indes für unrealistisch, vor allem dann, wenn die Verteilung nicht direkt über den Gerätehersteller, sondern den Mobilfunkanbieter erfolgt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de