Sicherheitslücke bedroht Handys von Samsung, Xiaomi, Oppo und Google
Eine Sicherheitslücke, für die es bereits seit einigen Monaten Patches gibt, bedroht noch immer Android-Geräte. Das soll an den Herstellern liegen. Sie versäumten es, die von Chip-Hersteller ARM bereitgestellten Sicherheitsupdates zu übernehmen.
Für die Sicherheitslücken (CVE-2022-36449) gibt es zwar bereits ein Patch-Update, allerdings wurde dieses von Android-Geräteherstellern bisher nicht übernommen oder an die Nutzerinnen und Nutzer ausgespielt. Daher warnen die Forschenden von Project Zero - Googles Team an Securityanalysten - davor. Laut "Golem" sind Geräte von Samsung, Xiaomi, Oppo und weiteren Android-Herstellern, wie auch Googles Pixel-Reihe betroffen.
"Angreifer gehen den Weg des geringsten Widerstands, und solange die Hersteller bei der Behebung von Sicherheitslücken keine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Wiederbelebung bekannter Schwachstellen zu investieren, bevor nach neuen Schwachstellen gesucht wird”, heisst es in einem Blogbeitrag von Project Zero.
Wie "Golem" genauer ausführt, ist der Treiber von ARM für dessen Mali GPUs, der nicht im Hauptzweig des Linux-Kernels gepflegt wird, anfällig. Ein Angreifer könnte mit der Ausführung von nativem Code in einem App-Kontext vollständigen Zugriff auf das System erlangen, das Berechtigungsmodell von Android umgehen und sich umfassenden Zugriff auf Benutzerdaten verschaffen.
ARM reagiert, die anderen Hersteller nicht
Laut den Sicherheitsforschenden hat ARM die gemeldeten Probleme umgehend behoben und sie als Sicherheitsprobleme auf der Seite Arm Mali Driver Vulnerabilities veröffentlicht. Zudem habe der Chip-Hersteller den gepatchten Treiber-Quellcode auf der öffentlichen Entwickler-Website veröffentlicht. Tests bei Geräteherstellern hätten aber gezeigt, dass diese die seit August bereitstehenden Updates von ARM noch nicht übernommen hätten.
"Genauso wie Benutzern empfohlen wird, so schnell wie möglich Patches zu installieren, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen. Die Minimierung der 'Patch-Lücke' als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können", heisst es im Blogbeitrag. Unternehmen müssen laut Project Zero wachsam bleiben, die vorgelagerten Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so bald wie möglich vollständige Patches zur Verfügung zu stellen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Autonomes Fahrzeug von Planzer und Loxo erreicht nächste Automatisierungsstufe
Update: Var Group vollzieht Integration von 4IT Solutions
Flappie bedient seine ersten 2500 Kunden
Daten sammeln für die NASA
SwissAI fordert Verankerung digitaler Souveränität in der öffentlichen Beschaffung
Schwachstellen aufdecken, bevor Cyberkriminelle sie ausnutzen
Ein Partner für die IT von morgen
Datensouveränität im Rechenzentrum: Dell und enclaive machen es möglich
Schweizer Strafverfolger beteiligen sich an Europol-Aktion gegen cyberkriminelles VPN
