Pixel 6: Google lässt schwere Sicherheitslücke offen – aktuelles Update enthält keinen Patch gegen Dirty Pipe
Google hat am Montag das Android-Sicherheitsupdate veröffentlicht, das erfreulicherweise noch am selben Tag auf die Pixel 6-Smartphones ausgerollt wurde und einige Verbesserungen im Gepäck hatte. Doch leider lässt man die derzeit wichtigste Sicherheitslücke auf den Smartphones weiterhin offen und es deutet sich an, dass das schon wieder an Tensor und dessen Update-Problemen liegt.
Sicherheitslücken sind etwas völlig alltägliches und rein statistisch in jedem digitalen Produkt zu finden, wenn man nur lange danach sucht. Aber es gibt auch besonders schwere Lücken, die Angreifern sehr umfangreiche Möglichkeiten bieten und weit verbreitet sind – dazu gehört auch die vor einigen Wochen entdeckte Sicherheitslücke Dirty Pipe. Diese würde es Angreifern ermöglichen, die volle Kontrolle über das System zu übernehmen.
Dirty Pipe ist eine schwere Lücke im aktuellen Linux-Kernel und betrifft daher nur relativ neue Geräte, zu denen unter anderem das Samsung Galaxy S22 sowie die Pixel 6-Smartphones gehören. Doch während Samsung die Lücke bereits gestopft haben und das Problem mit dem April-Update aus der Welt geschafft haben will, sieht das bei Google ganz anders aus. In den offiziellen Update-Listen ist von Dirty Pipe keine Rede und ein Blick auf den Kernel zeigt, dass dieser nicht angerührt wurde.
Google hat das Sicherheitsupdate zwar pünktlich ausgeliefert, aber lässt die derzeit schwerwiegendste Lücke weiterhin offen. Gäbe es technisch keine andere Möglichkeit, wäre das vielleicht akzeptabel. Doch Samsung zeigt, dass die Lücke geschlossen werden kann: Mehr noch, Samsungs Patch besteht aus dem offiziellen Android-Fix, der von Google bereitgestellt wurde.
The Dirty Pipe vulnerability – tracked by CVE-2022-0847 – isn't mentioned in the April 2022 ASB, though a patch for it is in android12-5.10-2022-03_r1 and has been backported to android12-5.10-2022-01_r4, android12-5.10-2022-02_r2, and android12-5.10-2021-11_r10. https://t.co/xnMEemMuVY
— Mishaal Rahman (@MishaalRahman) April 4, 2022
Halten wir also fest: Google hat die Sicherheitslücke bei Android gestopft, diesen Fix aber nicht für die eigenen Pixel 6-Smartphones angewendet. Die Vermutung liegt nahe, dass das wieder etwas mit Tensor zu tun hat, dem ersten Google-SoC. Dieser Chip hat schon in den vergangenen Monaten dafür gesorgt, dass Google die Updates nicht pünktlich oder im vollen Umfang liefern konnte. Gut möglich, dass es auch beim Dirty Pipe-Fix Probleme gab.
Es ist eine kuriose Situation, dass Samsung das Problem mit Googles Hilfe fixen konnte, aber Google wiederum nicht mit Samsungs Hilfe. Tensor basiert auf Samsung-Technologie und Google arbeitet für Updates eng mit den Südkoreanern zusammen. Natürlich ist der Smartphone-Hersteller Samsung nicht mit dem Komponenten-Hersteller Samsung zu vergleichen, aber dennoch eine sehr unschöne Situation, dass Google hier mutmaßlich einen weiteren Monat passen muss.
Vielleicht folgt aber auch noch ein weiteres Update im Laufe der nächsten zwei Wochen. Wir wissen es nicht. Pixel 6-Nutzer sind es mittlerweile gewohnt, dass Googles Kommunikation nicht die allerbeste ist und Probleme so lange totgeschwiegen werden, bis man einen Fix ankündigen kann. Hoffentlich bald.
UPDATE: Vier Tage später ist der Bugfix endlich da, aber nur für Beta-Nutzer.
» Pixel 6 & Pixel 6 Pro: Neue Beta stopft Sicherheitslücke Dirty Pipe – alle anderen Nutzer müssen weiter warten
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Da Tensor ein hochgezüchteter Exynos ist, dürfte das nicht so ein Problem sein, denn Samsung hat das Update für Snapdragons wie auch Exynos-Geräte rausgehauen…
Ich befürchte bei Google hat man Dirty Pipe als nicht so gravierend eingeschätzt oder sowas, und konzentriert sich auf völlig an sich belanglose Verbesserungen/Features, anstatt die ganze Kraft in Fehlerkorrekturen zu stecken…
…der Abstieg fing ziemlich genau mit dem Moment an, wo überal die „don’t be evil“-Schilder abgebaut wurden.
Seitdem nur noch Chaos, minderwertige Qualität, Entscheide die keiner mit Hirn nachvollziehen kann, usw usf.
ABER sie sind schön divers und inklusive. Gibt jenste Safespaces, und wer die falsche Meinung hat, wird nicht alt im Betrieb…
Tja. Wenn doch nur die Leute bei SailfishOS oder UbuntuTouch JETZT den Turbo zünden würden; wär doch zu geil: SailfishOS/Ubuntu Touch auf den Pixel. ODER installierbar auf Samsung-Geräten.
…gibt genug, die von Google/Android so die Schnauze voll haben, aber nicht zu Apple wollen; die würden sich heute mit HANDKUSS UND VERBEUGUNG eines der beiden OS installieren.
Jap. Eben, die müssten JETZT den Markt erkennen.
Verfügbarkeit erhöhen, Preise senken – und die Leute werden in MASSEN wechseln.
Selbiges bei Ubuntu Touch – JETZT das aktuelle System auf möglichst viele Phones portieren (selbst LineageOS hat noch jede Menge unterstützte Geräte, da müsste was gehen), und der Wechsel findet statt.
Und schon hätte man endlich auch wieder nen 3. Mitbewerber am Markt, und schon ginge es mit der Interoperabilität wieder voran, und man wäre nicht mehr in den Ecospheres – man möchte sagen – „gefangen“.
Der Reinfall mit dem Pixel6 und dem überteuerten S22 lies viele „alte Tüftler“ wach werden; der Wille zum Ausprobieren von Alternativen nimmt immer mehr zu (Apple = totaler Lock-in in die Ecosphere, Android geht auch immer mehr in diese Richtung, Geräte auf denen was läuft werden immer teurer…)
Bei mir liegen bsp. noch alle Smartphones rum die ich je hatte; Xperia T, Nexus 5X, Xiaomi Mi9SE – und das Pixel). Auf dem T läuft zwar noch ein inoffizielles Android 11 (Danke an den Lineage-Entwickler!), aber da läuft wohl bald nix mehr. Beim 5X könnte ich mir aber gut nen Testrun auf UT oder Sailfish vorstellen, das 9SE muss als Ausfallgerät „Google zertifiziert“ bleiben, falls das Pixel6 wieder zum Totalausfall wird…
Sailfish und UbuntuTouch verpennen gerade DIE Gelegenheit zum Marktdurchbruch; naja, bis Google seine Software im Griff hat, haben’s noch Zeit…
Wo haben die euch nur rausglassen?!