Sicherheitslücke bedroht Handys von Samsung, Xiaomi, Oppo und Google
Eine Sicherheitslücke, für die es bereits seit einigen Monaten Patches gibt, bedroht noch immer Android-Geräte. Das soll an den Herstellern liegen. Sie versäumten es, die von Chip-Hersteller ARM bereitgestellten Sicherheitsupdates zu übernehmen.
Für die Sicherheitslücken (CVE-2022-36449) gibt es zwar bereits ein Patch-Update, allerdings wurde dieses von Android-Geräteherstellern bisher nicht übernommen oder an die Nutzerinnen und Nutzer ausgespielt. Daher warnen die Forschenden von Project Zero - Googles Team an Securityanalysten - davor. Laut "Golem" sind Geräte von Samsung, Xiaomi, Oppo und weiteren Android-Herstellern, wie auch Googles Pixel-Reihe betroffen.
"Angreifer gehen den Weg des geringsten Widerstands, und solange die Hersteller bei der Behebung von Sicherheitslücken keine gründliche Ursachenanalyse durchführen, wird es sich auch weiterhin lohnen, Zeit in die Wiederbelebung bekannter Schwachstellen zu investieren, bevor nach neuen Schwachstellen gesucht wird”, heisst es in einem Blogbeitrag von Project Zero.
Wie "Golem" genauer ausführt, ist der Treiber von ARM für dessen Mali GPUs, der nicht im Hauptzweig des Linux-Kernels gepflegt wird, anfällig. Ein Angreifer könnte mit der Ausführung von nativem Code in einem App-Kontext vollständigen Zugriff auf das System erlangen, das Berechtigungsmodell von Android umgehen und sich umfassenden Zugriff auf Benutzerdaten verschaffen.
ARM reagiert, die anderen Hersteller nicht
Laut den Sicherheitsforschenden hat ARM die gemeldeten Probleme umgehend behoben und sie als Sicherheitsprobleme auf der Seite Arm Mali Driver Vulnerabilities veröffentlicht. Zudem habe der Chip-Hersteller den gepatchten Treiber-Quellcode auf der öffentlichen Entwickler-Website veröffentlicht. Tests bei Geräteherstellern hätten aber gezeigt, dass diese die seit August bereitstehenden Updates von ARM noch nicht übernommen hätten.
"Genauso wie Benutzern empfohlen wird, so schnell wie möglich Patches zu installieren, sobald eine Version mit Sicherheitsupdates verfügbar ist, gilt dies auch für Anbieter und Unternehmen. Die Minimierung der 'Patch-Lücke' als Anbieter ist in diesen Szenarien wohl noch wichtiger, da die Endbenutzer (oder andere nachgeschaltete Anbieter) diese Aktion blockieren, bevor sie die Sicherheitsvorteile des Patches nutzen können", heisst es im Blogbeitrag. Unternehmen müssen laut Project Zero wachsam bleiben, die vorgelagerten Quellen genau verfolgen und ihr Bestes tun, um den Benutzern so bald wie möglich vollständige Patches zur Verfügung zu stellen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Führungskräfte erwarten tiefgreifende Veränderungen durch KI-Agenten
Digital vernetzt, ganzheitlich gesichert: Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
Schweizer Unternehmen verlieren in puncto Cyberabwehr an Boden
Warum Cybersicherheit in Spitälern auf der Strecke bleibt
Software für die Strafverfolgung von der Schweizer Marktführerin
Samsung gewinnt "Display of the Year"-Award für Lead-Technologie
Weshalb Innovation mit der Erneuerung von Legacy-Systemen beginnt
Samsung warnt vor kritischer Sicherheitslücke im Magicinfo Server
Axians Schweiz erweitert Portfolio um KI-Beratung
