Google spendiert dem Betriebssystem Android mindestens einmal pro Monat ein großes Sicherheitsupdate, das aus zahlreichen gestopften Sicherheitslücken und behobenen Bugs besteht. Doch zwischen der Veröffentlichung eines solchen Pakets und dem Rollout auf die Nutzer-Smartphones kann manchmal sehr viel Zeit vergehen, selbst bei dringlichen Sicherheitslücken. Ein neuer Google-Bericht zeigt jetzt, dass das auch hinter den Android-Kulissen der Fall ist.
Das Update-Konzept von Android sieht vor, dass Google mindestens einmal pro Monat ein Paket mit Sicherheitsupdates veröffentlicht, das von den Smartphone-Herstellern in einigen Punkten adaptiert, umgesetzt und ausgerollt wird. Schon seit langer Zeit ist bekannt, dass viele Smartphone-Hersteller den Aufwand scheuen und nicht alle Patches tatsächlich in den Rollout bringen. Andere kommen mit mehrmonatiger Verspätung oder überhaupt nicht auf die Smartphones. Das gilt auch dann, wenn sich die Geräte in der Phase der garantierten Sicherheitsupdates befinden.
Aber nicht nur bei den Smartphone-Herstellern scheint man es nicht immer eilig zu haben, sondern auch im Android-Team selbst kann es manchmal etwas länger dauern. Die Google-interne „Thread Analytics Group“ hat kürzlich den neuen Jahresbericht veröffentlicht und kam erneut zu der Erkenntnis, dass Updates einfach viel zu lange Zeit benötigen, bis sie bei den Nutzern ankommen. In einem Beispiel scheut man nicht davor zurück, die Kollegen aus der Google-Abteilung zu kritisieren.
Es wird ein Fall aufgezeigt, bei dem es ganze neun Monate gedauert hat, bis das Android-Team ein Update für eine recht schwere Sicherheitslücke veröffentlicht hat. Konkret von Juli 2022 bis April 2023. Es geht um eine Sicherheitslücke in einer Reihe von ARM-Prozessoren, die es Angreifern ermöglicht, auf eigentlich gesperrte Speicherbereiche zuzugreifen und somit potenziell Nutzerdaten auszulesen.
Der lange Weg bis zum Sicherheitsupdate
- July 2022: Reported to Android Security team
- Aug 2022: Android Security labels “Won’t Fix” and sends to ARM
- Oct 2022: Bug fixed by ARM
- Nov 2022: In-the-wild exploit discovered
- April 2023: Included in Android Security Bulletin
Das Android-Team erhielt im Juli 2022 Kenntnis von der Sicherheitslücke, entschloss sich dann aber im August, das Problem nicht zu beheben. Als Begründung gab man an, dass es ein Geräte-spezifisches Problem sei. Der Fall wurde geschlossen, das Problem aber dennoch an ARM weitergeleitet. Im Oktober hat ARM einen Patch veröffentlicht, der nicht vor April 2023 – also ganze sechs Monate später – von Android aufgegriffen wurde. In der Zwischenzeit wurde die Sicherheitslücke bereits fünf Monate aktiv ausgenutzt. Und bis der Patch bei den Smartphones der Nutzer ankam, könnten weitere Monate vergangen sein.
Als Aufgabe gibt TAG mit auf den Weg, dass der Umgang mit den Updates besser werden muss:
- Verteilen Sie schnell Korrekturen und Abhilfemaßnahmen für Benutzer, damit sie sich selbst schützen können.
- Führen Sie detaillierte Analysen durch, um sicherzustellen, dass die Grundursache der Schwachstelle behoben wird.
- Teilen Sie so viele technische Details wie möglich mit.
- Nutzen Sie gemeldete Schwachstellen, um daraus so viel wie möglich zu lernen und zu beheben.