Android: Google warnt vor schwerer Sicherheitslücke in Pixel-, Samsung- & Xiaomi-Smartphones – Patch kommt
In wenigen Stunden dürfte Google das Android-Sicherheitsupdate für den Monat Oktober veröffentlichen und damit erstmals seit langer Zeit wieder eine Lücke im Betriebssystem stopfen, die bereits aktiv ausgenutzt wird. Entsprechende Informationen über die Lücke hat Googles Project Zero nun vorab veröffentlicht und rät zu einer schnellen Installation des Sicherheitsupdates, sobald es verfügbar ist. Angreifer können mit der Lücke die volle Kontrolle über viele Smartphones übernehmen.
Das Team rund um Googles Project Zero hat in letzter Zeit vor allem durch das Aufdecken von Sicherheitslücken in Produkten von Apple und auch Microsoft von sich Reden gemacht, macht aber auch vor den Produkten des eigenen Arbeitgebers nicht halt. Auch Googles Android-Team muss nun damit leben, dass Informationen über eine Sicherheitslücke bereits nach sieben Tagen veröffentlicht wurden, weil es aktiv ausgenutzt und somit noch gefährlich ist.
Normalerweise hätte Google das Android-Sicherheitsupdate vermutlich schon vor einigen Tagen veröffentlicht, doch aufgrund der aktuellen Sicherheitslücke dürfte es verschoben worden sein. Wie nun bekannt wurde, gibt es auf vielen Smartphones eine Sicherheitslücke, die dem Angreifer die volle Kontrolle über das Gerät ermöglicht. Derzeit gibt es zwei Angriffsszenarien, wobei vor allem das Zweite sehr gefährlich ist. Für das erste Szenario muss das Opfer dazu gebracht werden, eine unsichere App zu installieren. Beim Zweiten reicht es, wenn eine kompromittierte Webseite aufgerufen wird, die eine Sicherheitslücke im Chrome-Browser ausnutzt und aus der Sandbox ausbrechen kann.
There’s evidence the vulnerability is being actively exploited, either by exploit developer NSO Group or one of its customers, Project Zero member Maddie Stone said in a post. Exploits require little or no customization to fully root vulnerable phones. The vulnerability can be exploited two ways: (1) when a target installs an untrusted app or (2) for online attacks, by combining the exploit with a second exploit targeting a vulnerability in code the Chrome browser uses to render content.
The bug is a local privilege escalation vulnerability that allows for a full compromise of a vulnerable device. If the exploit is delivered via the Web, it only needs to be paired with a renderer exploit, as this vulnerability is accessible through the sandbox.
Diese Smartphones sind betroffen
Weitere Details zur Lücke gibt es aktuell noch nicht, sie soll laut Google aber in den kommenden Tagen mit dem Android-Sicherheitsupdate für Oktober gestopft werden. Betroffen sind die Pixel-Smartphones der ersten und zweiten Generation (Pixel 3 und Pixel 3a nicht), die Samsung Galaxy S7, S8 und S9, das Huawei P20, Xiaomi Redmi 5A, Redmi Note 5, Xiaomi A1, Oppo A3, Motorola Z3 sowie alle LG-Smartphones mit Android Oreo. Weitere Smartphones können auch betroffen sein, die Liste ist laut den Entdeckern nicht vollständig.
» Die Meldung der Sicherheitslücke
Siehe auch
» Microsoft Surface Duo: Microsoft zeigt klappbares Android-Smartphone mit zwei Displays (Galerie + Video)
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter