Google schließt 95 Sicherheitslücken in Android
Der Januar-Patchday bringt Fixes für 28 kritische Schwachstellen. Darunter ist auch eine Lücke im Mediaserver. Ein Angreifer kann mithilfe speziell präparierter Dateien die vollständige Kontrolle über ein betroffenes Gerät übernehmen. Auch Blackberry, LG und Samsung kündigen Sicherheitspatches an.
Google hat das Android Security Bulletin für Januar 2017 veröffentlicht. Es enthält Details zu insgesamt 95 Sicherheitslücken, die die Entwickler auf zwei Patches verteilt haben. Geräte mit Sicherheitspatch-Ebene 1. Januar sind vor 23 Anfälligkeiten geschützt, darunter eine kritische Schwachstelle im Mediaserver. Die Sicherheitspatch-Ebene 5. Januar beinhaltet weitere 72 Fixes, unter anderem für 28 als kritisch eingestufte Bugs.
Die kritischen Sicherheitslecks erlauben unter anderem das Einschleusen und Ausführen von Schadcode. Ein Angreifer kann unter Umständen die vollständige Kontrolle über ein betroffenes Gerät übernehmen. Sein Opfer muss er lediglich dazu verleiten, eine speziell präparierte Datei zu öffnen oder eine schädliche App zu installieren. Schadsoftware lässt sich zudem in einigen Fällen nur durch das erneute Flashen des Betriebssystems entfernen, wodurch alle auf dem Gerät gespeicherten Daten verloren gehen.
Betroffen sind die Android-Versionen 4.4.4 KitKat, 5.x Lollipop, 6.x Marshmallow und 7.0 Nougat. Zum zweiten Patch nennt Google wie immer nur möglicherweise anfällige Geräte: Nexus 5X, 6, 6P, 9, Nexus Player, Pixel, Pixel XL, Pixel C und Android One. Die Fehler stecken unter anderem in den Komponenten Mediaserver und Kernel sowie in den in Android enthaltenen Treibern für Komponenten von Drittanbietern wie Broadcom, MediaTek, Nvidia, Qualcomm und Synaptics.
Googles Android-Partnern liegen die Details zu den 95 Schwachstellen spätestens seit 5. Dezember vor. Firmware-Images für die eigenen Produkte bietet Google ab sofort auf seiner Entwickler-Website zum Download an. Sie sollten in Kürze auch als Over-the-Air-Update zur Verfügung stehen. Zudem sollen die Patches innerhalb der nächsten 48 Stunden auch in das Android Open Source Project einfließen.
Neben Google haben auch Blackberry, LG und Samsung aktuelle Sicherheitswarnungen veröffentlicht. Blackberry hebt seine Android-Smartphones Priv, DTEK 50 und DTEK 60 auf die Sicherheitspatch-Ebene 5. Januar und stopft 55 Löcher. LG hingegen berücksichtigt nur die Fixes für die Sicherheitspatch-Ebene 1. Januar. Es schließt mit seinem Update aber auch acht Lücken in der eigenen Android-Software. Darunter ist ein Patch, der verhindern soll, dass Drittanwendungen die App MTKLogger ohne Wissen des Nutzers starten, um im Hintergrund persönliche Informationen zu sammeln.
Samsung wiederum beseitigt insgesamt 67 Schwachstellen, ohne Angaben zur Sicherheitspatch-Ebene zu machen. Es ist jedoch davon auszugehen, dass die unterstützten Modellreihen Galaxy S, Galaxy Note und Galaxy A wie in den Vormonaten nur den ersten Patch erhalten. Darüber hinaus liefert das koreanische Unternehmen Fixes für 28 sicherheitsrelevante Fehler in seiner eigenen Android-Software aus. Blackberry, LG und Samsung verteilen ihre Updates Over the Air – teilweise jedoch mit einer Verzögerung von mehreren Wochen.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de