Mit dem Android Security Bulletin für September dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller.
Die geschlossenen Sicherheitslücken verteilen sich stets auf zwei so genannte Patch Level. Das erste, 2023-09-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2023-09-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen.
Patch Level 2023-09-01 mit drei kritischen Lücken und einer 0-Day-Lücke
Für das Patch Level 2023-09-01 weist das Security Bulletin im September 20 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Drei Schwachstellen in der Kategorie System sind als kritisch eingestuft, da sie es erlauben Code einzuschleusen und auszuführen. Alle anderen Sicherheitslücken sind als hohes Risiko ausgewiesen. Die EoP-Lücke (Elevation of Privilege) CVE-2023-35674 im Framework wird offenbar bereits für „begrenzte, gezielte Angriffe“ ausgenutzt. Ein Angreifer (oder eine App) kann sich damit lokal höhere Berechtigungen verschaffen, ohne dass der Benutzer mithelfen müsste.
▶Die neuesten Sicherheits-Updates
Über Google Play werden im Rahmen des Project Mainline ausgewählte Patches auch an Geräte ausgeliefert, deren Hersteller keine Sicherheits-Updates bereitstellen. Im September betrifft das zwei Lücken in der Komponente MediaProvider (CVE-2023-35670, CVE-2023-35683).
Patch Level 2023-09-05 mit einer kritischen Lücke
Für das Hardware-nahe Patch Level 2023-09-05 führt das September-Bulletin lediglich 12 gestopfte Lücken auf. Alle stecken in Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten). Eine der Schwachstellen (CVE-2023-28581) ist als kritisch einstuft, die übrigen als hohes Risiko.
Noch kein Pixel Update Bulletin
Das separate Bulletin für seine Pixel-Geräte, darunter auch das Pixel Tablet und das Pixel Fold, hat Google noch nicht veröffentlicht. Updates erhalten die Modelle Pixel 5 und neuer. Für das Pixel 4 und ältere Geräte hat Google die Update-Versorgung bereits eingestellt. Das Pixel 4a hat im August bereits das letzte Update erhalten, das Pixel 5 folgt im Oktober und das Pixel 4a 5G im November. Noch in diesem Monat soll die neue Betriebssystemversion Android 14 („Upside Down Cake“) erscheinen.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.