2459728

Google entdeckt schwere Android-Lücke

04.10.2019 | 14:24 Uhr | Panagiotis Kolokythas

Sicherheitsforscher von Google melden eine schwere Sicherheitslücke in Android. Betroffen sind Geräte vieler Hersteller.

Google-Sicherheitsforscher von Project Zero haben in der vergangenen Woche eine schwere Sicherheitslücke in Android entdeckt, die Angreifern den Root-Zugriff auf angegriffene Android-Smartphones erlaubt. Nachdem die Lücke bereits aktiv ausgenutzt wird, habe man sich dazu entschieden, die Details jetzt öffentlich zu machen.

"Wir haben Beweise dafür, dass dieser Fehler 'in the wild' verwendet wird. Daher unterliegt dieser Fehler einer 7-tägigen Offenlegungsfrist. Nach Ablauf von 7 Tagen oder wenn ein Patch bereits für die Masse der Anwender verfügbar gemacht wurde (je nachdem, was früher ist), wird der Bug-Report für die Öffentlichkeit sichtbar", heißt es in dem Bug-Eintrag.

Nachdem die ersten sieben Tage abgelaufen sind (und noch keine Patches verfügbar sind), wurden die Informationen zur Sicherheitslücke nun am Freitag publik gemacht. Die Sicherheitsexperten von Google vermuten, dass die Lücke unter anderem von der in Israel ansässigen Gruppe NSO verwendet wird. Die Gruppe verkauft an Regierungsorganisationen Tools, mit denen sie sich Zugriff auf iOS- und Android-Geräte verschaffen können.

Laut der Meldung von Google sind neben dem Pixel 2 auch sind diverse populäre Geräte anderer Hersteller betroffen. Konkret betroffen sind:

  1. Pixel 2 mit Android 9 und Android 10

  2. Huawei P20

  3. Xiaomi Redmi 5A

  4. Xiaomi Redmi Note 5

  5. Xiaomi A1

  6. Oppo A3

  7. Moto Z3

  8. Oreo LG Smartphones

  9. Samsung S7, S8, S9

Etwas peinlich für Google: Die Sicherheitslücke ist nicht neu und war bereits im Dezember 2017 im Kernel von Android behoben worden. Offensichtlich geschah dies aber nicht gründlich genug, denn in aktuelleren Kernel-Versionen von Android ist die Lücke wieder enthalten. Laut der Google-Forscher muss auf den betroffenen Geräten allerdings zunächst eine App aus einer nicht vertrauenswürdigen Quelle installiert werden und erst danach könnten die Angreifer sich den vollständigen Zugriff auf ein Smartphone verschaffen.

Alle betroffenen Hersteller sind seitens Google informiert worden. Google selbst wird die Lücke mit den Android-Sicherheitsupdates im Oktober beim Pixel 1 und Pixel 2 stopfen. Für das Pixel 3 und Pixel 3a seien dagegen keine Maßnahmen erforderlich.

PC-WELT Marktplatz

2459728