Android: Juli-Patchday schließt zahlreiche kritische Sicherheitslücken

09.07.2018
G DATA Blog

Der aktuelle Android-Patchday adressiert zahlreiche Sicherheitslücken, die unter anderem auch den Linux-Kernel betreffen. Außerdem will Google mit Metadaten an APK-Dateien künftig die Sicherheit verbessern.

Google hat mit den monatlichen Sicherheitspatches für Android zahlreiche Schwachstellen in seinem mobilen Betriebssystem Android und der von Smartphones verwendeten Firmware geschlossen. Unter den Schwachstellen finden sich alte Bekannte, etwa der chronisch unsichere Medienserver. Außerdem hat das Unternehmen einige Neuerungen in der eigenen Sicherheitsengine Google Play Protect angekündigt.

Zahlreiche Schwachstellen in Android sind als „Kritisch“ markiert, einige von ihnen ermöglichen einem Angreifer, aus der Ferne Code auszuführen (Remote Code Execution, RCE) und so weitere Malware zu installieren oder ein Smartphone zu übernehmen. Nutzer sollten die Updates so schnell wie möglich einspielen, wenn dies von ihrem Gerätehersteller angeboten wird.

Ein Fehler mit der Bezeichnung CVE-2018-9411 soll es einem Angreifer ermöglichen, über eine speziell präparierte Datei einen Fehler im Medienserver auszunutzen und so Code auszuführen. Weitere Details zu dem Problem sind bislang allerdings nicht bekannt. Entsprechende Angriffe tauchen seit der ersten Entdeckung der sogenannten Stagefright-Sicherheitslücke fast jeden Monat auf.

Schwachstelle in WLAN-Firmware

Ein Fehler in der Behandlung der sogenannten Beacon Information Elements kann dazu führen, dass Angreifer einen häufig verbauten WLAN-Chip von Qualcomm als Einfallstor für Codeausführung benutzen können. Beacons sind kleine Informationspakete, die von einem WLAN ausgesendet werden und Informationen über Name, Standort und andere Parameter enthalten. Ein Smartphone muss nicht unbedingt mit einem WLAN verbunden sein, um die Informationen zu erhalten.

Derzeit prüft die zuständige Treibersoftware allerdings nicht, ob die Länge der jeweiligen Beacon-Elemente wie erwartet ist. Daher kann ein sogenannter Buffer Overread entstehen, Angreifer also in den Besitz eigentlich vertraulicher Informationen kommen - normalerweise können Programme nur Informationen im Arbeitsspeicher auslesen, die für sie selbst bestimmt sind. Das Problem wurde durch die Angabe einer minimalen und einer maximalen Länge der Datenpakete behoben.

Ebenfalls betroffen sind einige Komponenten im von Android verwendeten Linux-Kernel. Die Probleme wurden auch im Upstream-Kernel behoben, die Patches kommen also auch anderen Linux-Nutzern zu Gute. Probleme gibt es dort unter anderem mit dem TLS-Stack zur Verschlüsselung ein- und ausgehender Internetverbindungen. Dort kann eine Schwachstelle in der Implementierung des neuen Internetstandards IPv6 dazu führen, dass Angreifer ihre eigenen Rechte bei einem Angriff erhöhen können (Elevation of Privilege, EOP). Code könnte dann zum Beispiel nicht mehr nur mit einfachen Nutzerrechten, sondern etwa als Administrator ausgeführt werden, ein Angriff könnte dann mehr Schaden anrichten.

Google stärkt Androids Sicherheitsarchitektur

Google hat nach eigenen Angaben einige Änderungen an der Android Security Platform und der Play-Protect-Engine vorgenommen. Diese Änderungen sollen es in einigen Fällen verhindern, dass bekannte Schwachstellen für einen erfolgreichen Angriff ausgenutzt werden. Außerdem werden neuerdings einige sicherheitsbezogene Metadaten zu den APK-Dateien erhoben, mit denen überprüft werden kann, ob Inhalte ursprünglich über den Play Store verteilt wurden. Damit will Google vor allem Nutzern in Schwellenländern helfen, wo Apps wegen hoher Internetkosten oder mangelnder Abdeckung oft noch direkt von Nutzer zu Nutzer weitergegeben werden, was das Infektionsrisiko erhöht.

Mit Google Play können viele Bedrohungen gefunden werden, eine eigene Scan-Engine wie G DATA Mobile Internet Security Android kann jedoch weitaus mehr Gefahren aufspüren. „Google Play ist ein sinnvolles Werkzeug von Google, um unerwünschtes Verhalten zu entdecken, aus unserer Sicht reicht die Technologie aber nicht aus, um einen umfassenden Schutz für Nutzer sicherzustellen“, sagt der G DATA Sicherheitsexperte Alexander Burris, zuständig für den Bereich mobiler Schutzlösungen. Das bestätigt auch AV-Test. Dort hieß es in der letzten Analyse: „Play Protect konnte im Dauertest nicht mit den Erkennungsraten spezialisierter Security-Apps mithalten.“

Eines der größten Probleme von Android ist zudem die nach wie vor unzureichende Versorgung mit Sicherheitsupdates. Viele Hersteller stellen die von Google herausgegebenen Patches nicht oder erst mit großer Verzögerung bereit. Viele Nutzer werden die aktuellen Updates daher nicht oder nur spät bekommen.

Zuletzt hatte die chinesische Firma Oneplus versprochen, Smartphones mindestens drei Jahre lang mit Patches zu versorgen. Neue Android-Versionen mit aktualisierten Funktionen soll es für mindestens zwei Jahre geben. Google versucht dem Problem mit Project Treble zu begegnen, so dass einige Updates auch ohne Anpassung der Hersteller direkt an die Geräte verteilt werden können.

Android-Nutzer können ihr Gerät mit G DATA Mobile Internet Security gegen Apps mit unerwünschten Inhalten und Malware absichern. Außerdem lassen sich die für Apps vergebenen Berechtigungen einfach und übersichtlich überprüfen. Mit dem integrierten sicheren Browser können Anwender sich außerdem vor Phishing-Webseiten schützen.

Hauke Gierow
Head of Corporate Communications

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein