Die Sicherheitsforscherin Maddie Stone aus Googles Project-Zero-Team hat auf eine schwerwiegende Sicherheitslücke im Code des Android-Betriebssystems hingewiesen, die mehrere Smartphone-Modelle verschiedener Hersteller betrifft. Ein lokaler Angreifer könnte die Lücke missbrauchen, um seine Rechte zu erweitern und letztlich die vollständige Kontrolle über das Gerät zu erlangen. Dazu müsste er zunächst eine Anwendung auf dem Zielgerät installieren. Darüber hinaus sei die Lücke in Kombination mit einem zweiten, so genannten Renderer-Exploit unter bestimmten Voraussetzungen auch aus der Ferne ausnutzbar. Google hat das Vorhandensein der Sicherheitslücke bestätigt und schätzt ihren Schweregrad als "hoch" ein. Sie trägt die CVE-Kennung CVE-2019-2215 und ist eigentlich nicht neu. Vielmehr wurde sie laut Stone bereits Ende 2017 im Linux-Kernel (LTS-Version 4.14) gepatcht – damals ohne CVE-Nummer, die das Nachverfolgen erleichtert hätte. Der korrigierte Code floss dann in mehrere (3.18, 4.4 und 4.9), aber eben nicht in alle Versionen des Android-Kernels ein. Mehrere verwundbare Geräte In einem Eintrag im Chromium-Bugtracker schreibt Stone, dass mindestens die folgenden Geräte den betreffenden Android-Kernel-Code in seiner verwundbaren Form nutzen: Google Pixel 1 / 1 XL und 2 / 2 XLHuawei P20Motorola Moto Z3LG-Smartphones mit Android 8 ("Oreo")Samsung S7, S8, S9Oppo A3Xiaomi Redmi 5A und Redmi Note 5 Angesichts der Tatsache, dass sie den verwundbaren Code mittels eines Sourcecode-Vergleichs aufgespürt hat, ist es allerdings gut möglich, dass noch weitere Smartphone-Modelle die Lücke aufweisen. Ausdrücklich nicht verwundbar sind laut Google die Pixel-Modelle 3 und 3A. Proof-of-Concept verfügbar, Updates noch nicht Maddie Stone hat einen Proof-of-Concept-Exploit zum lokalen Missbrauch von CVE-2019-2215 veröffentlicht. Man habe sich gegen das Einhalten der üblichen 90-Tage-Frist (Responsible Disclosure) zum Veröffentlichen von Sicherheitslücken-Details entschieden und sei bereits nach sieben Tagen an die Öffentlichkeit gegangen, da es Hinweise darauf gebe, dass die Lücke bereits aktiv in freier Wildbahn ausgenutzt werde. Dahinter steckt nach Stones' Einschätzung der israelische "Überwachungsdienstleister" NSO Group. Dieser ist dafür bekannt, Spionage-Software an Regierungen, darunter auch totalitäre Regime, zu verkaufen. Die wiederum nutzen sie, um politische Gegner oder (potenzielle) Kritiker auszuspähen. Gooles Pixel-1 und -2-Geräte (inkl. XL) sollen noch diesen Monat zum regulären Android-Oktober-Patchday (d.h. in den kommenden Tagen) Updates erhalten. Ein Kernel-Patch ist öffentlich verfügbar, die offiziellen Android-Partnerunternehmen informiert. Ob und wie schnell verwundbare Geräte Updates erhalten, hängt nun von den Herstellern ab. Derweil können Smartphone-Besitzer die Wahrscheinlichkeit aktiver Angriffe zumindest reduzieren, indem sie die App-Installation auf das Nötigste beschränken und dabei möglichst immer auf den Play Store zurückgreifen. (ovw) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Die Sicherheitsforscherin Maddie Stone aus Googles Project-Zero-Team hat auf eine schwerwiegende Sicherheitslücke im Code des Android-Betriebssystems hingewiesen, die mehrere Smartphone-Modelle verschiedener Hersteller betrifft. Ein lokaler Angreifer könnte die Lücke missbrauchen, um seine Rechte zu erweitern und letztlich die vollständige Kontrolle über das Gerät zu erlangen. Dazu müsste er zunächst eine Anwendung auf dem Zielgerät installieren. Darüber hinaus sei die Lücke in Kombination mit einem zweiten, so genannten Renderer-Exploit unter bestimmten Voraussetzungen auch aus der Ferne ausnutzbar. Google hat das Vorhandensein der Sicherheitslücke bestätigt und schätzt ihren Schweregrad als "hoch" ein. Sie trägt die CVE-Kennung CVE-2019-2215 und ist eigentlich nicht neu. Vielmehr wurde sie laut Stone bereits Ende 2017 im Linux-Kernel (LTS-Version 4.14) gepatcht – damals ohne CVE-Nummer, die das Nachverfolgen erleichtert hätte. Der korrigierte Code floss dann in mehrere (3.18, 4.4 und 4.9), aber eben nicht in alle Versionen des Android-Kernels ein. Mehrere verwundbare Geräte In einem Eintrag im Chromium-Bugtracker schreibt Stone, dass mindestens die folgenden Geräte den betreffenden Android-Kernel-Code in seiner verwundbaren Form nutzen: Google Pixel 1 / 1 XL und 2 / 2 XLHuawei P20Motorola Moto Z3LG-Smartphones mit Android 8 ("Oreo")Samsung S7, S8, S9Oppo A3Xiaomi Redmi 5A und Redmi Note 5 Angesichts der Tatsache, dass sie den verwundbaren Code mittels eines Sourcecode-Vergleichs aufgespürt hat, ist es allerdings gut möglich, dass noch weitere Smartphone-Modelle die Lücke aufweisen. Ausdrücklich nicht verwundbar sind laut Google die Pixel-Modelle 3 und 3A. Proof-of-Concept verfügbar, Updates noch nicht Maddie Stone hat einen Proof-of-Concept-Exploit zum lokalen Missbrauch von CVE-2019-2215 veröffentlicht. Man habe sich gegen das Einhalten der üblichen 90-Tage-Frist (Responsible Disclosure) zum Veröffentlichen von Sicherheitslücken-Details entschieden und sei bereits nach sieben Tagen an die Öffentlichkeit gegangen, da es Hinweise darauf gebe, dass die Lücke bereits aktiv in freier Wildbahn ausgenutzt werde. Dahinter steckt nach Stones' Einschätzung der israelische "Überwachungsdienstleister" NSO Group. Dieser ist dafür bekannt, Spionage-Software an Regierungen, darunter auch totalitäre Regime, zu verkaufen. Die wiederum nutzen sie, um politische Gegner oder (potenzielle) Kritiker auszuspähen. Gooles Pixel-1 und -2-Geräte (inkl. XL) sollen noch diesen Monat zum regulären Android-Oktober-Patchday (d.h. in den kommenden Tagen) Updates erhalten. Ein Kernel-Patch ist öffentlich verfügbar, die offiziellen Android-Partnerunternehmen informiert. Ob und wie schnell verwundbare Geräte Updates erhalten, hängt nun von den Herstellern ab. Derweil können Smartphone-Besitzer die Wahrscheinlichkeit aktiver Angriffe zumindest reduzieren, indem sie die App-Installation auf das Nötigste beschränken und dabei möglichst immer auf den Play Store zurückgreifen. (ovw) Zur Startseite