Android: Das lange Warten auf Sicherheits-Updates – auch von Google

2. Mai 2017, 12:10
15 Postings

Mai-Update beseitigt wieder zahlreiche kritische Lücken – Zum Teil vor mehr als einem Jahr gemeldet

Die Einführung eines fixen Sicherheits-Update-Zyklus war zweifelsohne ein großer Fortschritt für Android. Beteiligen sich doch mittlerweile – neben Google selbst – einige große Hersteller wie Samsung oder LG an diesem Rhythmus. Auch wird dadurch innerhalb des Android-Ökosystems klarer, wie es um die Sicherheit einzelner Geräte bestellt ist. Bei aktuellen Geräten kann in den Systeminformationen der Sicherheits-Patch-Level überprüft werden. Dass es trotzdem noch einigen Optimierungsbedarf an dem gesamten Prozess gibt, verdeutlicht nun das aktuellste Android Security Bulletin.

Problematische Drittkomponenten

Mit dem Mai-Update schließt Google wieder dutzende Sicherheitslücken. Dabei zeichnet sich ein ähnliches Bild wie in den Vormonaten: In Android selbst bleibt der Mediaserver der primäre Problembereich, hier wurden gleich sechs kritische Bugs ausgeräumt. Darüberhinaus wurden aber auch wieder eine Fülle von schwerwiegenden Problemen in Drittkomponenten bereinigt. Darunter etwa zwei Bugs im Bootloader von Qualcomm, über die beliebiger Code mit Kernel-Rechten ausgeführt werden hätte können.

Kopfzerbrechen

Sorge bereitet dabei aber vor allem ein näherer Blick auf die Details zu den Fehlern in externen Komponenten: So wurde etwa einer der erwähnten Bootloader-Bugs bereits Mitte September 2016 gemeldet, womit es also acht Monate gebraucht hat, bis dieser Fehler bereinigt war. Angesichts der Schwere des Problems ist dies ein unerfreulich langer Zeitraum, Googles eigenes Project Zero gibt etwa anderen Projekten drei Monate bevor sie kritische Fehler öffentlich machen.

Open Source

Während Google sich bei den Qualcomm-Bugs noch auf den Prozessorhersteller ausreden kann – immerhin ist man bei diesen proprietären Bestandteilen vom jeweiligen Partner abhängig – gilt dies für externe Open-Source-Komponenten nicht. Insofern verblüfft umso mehr, dass erst mit dem aktuellen Update eine kritische Lücke in der GIFLIB behoben wird. Ist diese doch bereit seit April 2016 bekannt, und wurde damals von Linux-Distributionen umgehend geschlossen. Der Fehler kann ausgenutzt werden, um beispielsweise über ein manipuliertes Bild auf einer Webseite Schadcode auf ein Gerät einzuschmuggeln.

Updates

Parallel zur Veröffentlichung des neuen Security Bulletins hat Google mit der Auslieferung von Updates an die aktuell noch unterstützten Geräte der Nexus- und Pixel-Reihe begonnen. Kleines Detail am Rande: Mit dem aktuellen Update macht Google offenbar eine erst vor zwei Monaten getroffene Entscheidung wieder rückgängig. So basiert das aktuellste Update für das Nexus 6 nun wieder auf Android 7.1.1 nachdem man im März zahlreiche User mit einem Downgrade auf Android 7.0 verärgert hatte. Damals hieß es noch, dass fortan nur mehr Android 7.0 offiziell unterstützt werden soll. (Andreas Proschofsky, 2.5.2017)

  • Auch die Transparenz von Open Source bringt wenig, wenn die Entwickler nicht aufpassen – wie nun bei einer mit einem Jahr Verspätung in Android geschlossenen Sicherheitslücke in der GIFLIB.
    foto: andreas proschofsky / standard

    Auch die Transparenz von Open Source bringt wenig, wenn die Entwickler nicht aufpassen – wie nun bei einer mit einem Jahr Verspätung in Android geschlossenen Sicherheitslücke in der GIFLIB.

    Share if you care.