Die Regeln haben sich geändert

Googles Project Zero warnt vor 0-Day-Lücke in Android

Meldung von doelf, Montag der 07.10.2019, 17:06:20 Uhr

Googles Project Zero hat in manchen Android-Versionen eine Sicherheitslücke (CVE-2019-2215) entdeckt, die offenbar schon angegriffen wird. Betroffen sind auch hauseigene Modelle wie das Pixel 2 mit Android 9 sowie der Vorschauversion von Android 10. Auch in Geräten von Samsung, Huawei, Xiaomi, Oppo, Motorola und LG steckt der hochgefährliche Fehler.

Die Schwachstelle und die Angriffe
Das Problem sitzt im Binder-Treiber und entsteht, wenn auf eine bereits aus dem Speicher entfernte Warteliste zugegriffen wird. Dabei kommt es zu einem Absturz, den ein Angreifer für seine Zwecke kontrollieren kann. Offenbar wird diese Schwachstelle bereits vom israelischen Überwachungsdienstleister NSO Group ausgenutzt, weshalb man von einer 0-Day-Lücke sprechen muss. Hat der Angreifer Zugriff auf das Gerät, kommt es in Folge des Fehlers zu einer Rechteausweitung, mit deren Hilfe sich das Gerät vollständig übernehmen lässt. Für Angriffe über das Internet ist ein weiterer Exploit für den Renderer erforderlich, die Rechteausweitung selbst ist aus der Sandbox von Chrome aus erreichbar.

Patch seit Ende 2017 verfügbar
Der Fehler selbst stammt aus Linux und wurde dort im Dezember 2017 mit dem Kernel 4.14 LTS beseitigt. Auch für Android wurde die Korrektur seinerzeit übernommen, allerdings nur für die Kernel-Versionen 4.9, 4.4 und 3.18. In anderen Kernel-Versionen verblieb die Sicherheitslücke indes und lässt sich im Quellcode aufstöbern. Eventuell hat das Fehlen einer CVE-Kennung zu dieser unglücklichen Situation beigetragen, denn eine solche wurde erst Ende September 2019 aufgrund der aktuellen Android-Probleme beantragt und lautet daher CVE-2019-2215. Fest steht, dass dieses hochgefährliche Problem für die betroffenen Geräte erst mit der Freigabe der Oktober-2019-Updates geschlossen wird.

Betroffene Geräte und Verfügbarkeit der Updates
Google hat den Android Common Kernel hinsichtlich dieses Bugs gehärtet und seine Hardware-Partner über die Schwachstelle in Kenntnis gesetzt. Während Googles Pixel 1 und 2 über die Oktober-Updates abgesichert werden, dürfte dies bei den Smartphones und Tablets anderer Hersteller wesentlich länger dauern. Alleine Geräte, die dank Android One monatliche Updates erhalten, sollten ebenfalls noch im Laufe dieses Monats bedient werden. Googles Pixel 3 und 3a sind nicht betroffen.

  • Google Pixel 2 mit Android 9 Patch Level September 2019 oder Android 10 Preview
  • Google Pixel 1 mit Android 9 Patch Level September 2019 (laut Google)
  • Huawei P20 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Xiaomi Redmi 5A mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Xiaomi Redmi Note 5 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Xiaomi A1 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Oppo A3 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Motorola Moto Z3 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • LG Smartphones mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Samsung S7 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Samsung S8 mit Android 8 (neuere Versionen wurden nicht untersucht)
  • Samsung S9 mit Android 8 (neuere Versionen wurden nicht untersucht)

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]