computerwoche.de

Mobile & Apps

November Security Bulletin für Android 8 bis 11

Kritische Lücken in Android

03.11.2020
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Alle Posts des Autors Email:
Google hat das November Security Bulletin für Android 8 bis 11 veröffentlicht. Demnach beseitigen Sicherheits-Updates, die das Security Level 2020-11-01 enthalten, auch mehrere als kritisch eingestufte Schwachstellen.

Am ersten Montag jedes Monats veröffentlicht Google ein Security Bulletin für sein Mobilbetriebssystem Android. Am 2. November ist die neueste Fassung erschienen. Im für alle halbwegs aktuellen Android-Geräte relevanten Security Patch Level 2020-11-01 sind insgesamt 20 Schwachstellen dokumentiert, die Gerätehersteller mit den entsprechenden Updates beseitigen sollten.

Schwachstellen in Android
Schwachstellen in Android

Für das Android Framework führt das November-Bulletin sechs Sicherheitslücken auf. Zwei dieser Schwachstellen (CVE-2020-0441, -0442) sind als kritisch ausgewiesen. Sie betreffen alle noch unterstützten Android-Versionen, also 8.0 bis 11. Sie könnten mit speziell präparierten Nachrichten ausgenutzt werden, um einen permanenten DoS-Zustand auszulösen. Das erinnert sehr an eine WhatsApp-Schwachstelle, die im September bekannt wurde.

Auch CVE-2020-0443 kann für DoS-Attacken genutzt werden, diese Lücke gilt jedoch nur als hohes Risiko. Die drei übrigen Schwachstellen im Android Framework sind ebenfalls als hohes Risiko ausgewiesen. Sie betreffen zum Teil nur einzelne Android-Versionen. Eine Schwachstelle in der Android Laufzeitumgebung steckt in Android 8 bis 10 und ist als hohes Risiko eingestuft.

Wie schon so oft stecken die schlimmsten Sicherheitslücken im Media Framework. Diesmal ist es die Schwachstelle CVE-2020-0451, die zumindest für Android 8, 8.1 und 9 als kritisch eingestuft ist. Sie kann es einem Angreifer ermöglichen, eingeschleusten Code mit den erhöhten Berechtigungen eines privilegierten Prozesses auszuführen. Dazu muss er potenzielle Opfer dazu bringen, eine speziell gestaltete Datei zu öffnen, etwa ein Foto oder ein Video. Für Android 10 und 11 gilt die Lücke zumindest noch als hohes Risiko, kann jedoch nur zur Offenlegung von Informationen führen.


Auch im System gilt es, eine als kritisch ausgewiesene Lücke zu stopfen. CVE-2020-0449 betrifft Android 8 bis 11 und kann nur durch einen Angreifer, der sich in physischer Nähe befindet, ausgenutzt werden. Das legt Funkschnittstellen mit kurzer Reichweite als Einfallstor nahe, also etwa NFC, Bluetooth und WLAN. Im Erfolgsfall könnte der Angreifer mit einer präparierten Übertragung Code einschleusen und mit den erhöhten Berechtigungen eines privilegierten Prozesses ausführen.

Im Security Patch Level 2020-11-05 finden sich Hardware-spezifische Schwachstellen. Das sind etwa drei Lücken in MediaTek-SoCs, die als hohes Risiko eingestuft sind. Zehn Schwachstellen betreffen Qualcomm-Komponenten, darunter eine als kritisch ausgewiesene. Die übrigen Lücken gelten als hohes Risiko. Details bleiben Betriebsgeheimnis der Chip-Hersteller.

Update-Politik der Hersteller

Leider liefern noch immer längst nicht alle Smartphone-Hersteller regelmäßig und halbwegs zeitnah Sicherheits-Updates für alle ihre Geräte aus. Oft werden nur die teuren Spitzenmodelle mit Updates versorgt. Nur Googles Pixel-Geräte erhalten nahezu zeitgleich mit Veröffentlichung des monatlichen Security Bulletins das zugehörige Update. HMD Global hat sich im Rahmen des Google-Programms Android One verpflichtet, für alle Nokia-Modelle drei Jahre lang Sicherheits-Updates bereitzustellen. Das dauert aber ein paar Wochen. Samsung stellt hingegen in ausgewählten Regionen bereits aktuelle Updates bereit, jedoch nur für wenige Top-Modelle wie Galaxy Note 20, Galaxy Note 10 und Galaxy S10. (PC-Welt)