Autor:
Steffen Herget
| 0

Android-Sicherheitslücke: Google verspricht Patch bis 1. März

Es gibt erneut eine Sicherheitslücke im Google-Betriebssystem Android. Diese basiert auf dem Linux-Kernel und ist nicht ganz so einfach zu schließen, wie es scheint. Bis März soll ein Update kommen. Umstritten ist dabei die tatsächliche Gefahr eines Angriffs.

Android-Sicherheitslücke: Google verspricht Patch bis 1. März

Patch für Android | (c) Google, Montage AM

Die neu entdeckte Sicherheitslücke ist nicht unbedingt Android-spezifisch, sie betrifft vielmehr den verwendeten Linux-Kernel des Google-Betriebssystems, der auch anderswo zum Einsatz kommt. Angreifer können durch einen herbeigeführten Ganzzahl-Überlauf Root-Rechte auf dem betroffenen Gerät erlangen und so viel Schindluder treiben. Wie der Android-Sicherheitsexperte Adrian Ludwig nun mitteilte, wird Google die Lücke mit einem Patch bis spätestens zum 1. März schließen. Im Android Open Source Project (AOSP) sei der Patch bereits implementiert. Die Schließung wäre auch schneller möglich gewesen, wenn das Android-Team bereits vor der Veröffentlichung über den Fehler informiert worden wäre. Perception Point und Red Hat hatten erst vorgestern auf die Lücke mit der Kennung CVE-2016-0728 hingewiesen.

Wie groß die Sicherheitslücke tatsächlich ist, die nun bald geschlossen werden soll, ist nicht klar auszumachen. Zunächst kursierte die Angabe, dass zwei Drittel aller Android-Smartphones betroffen sein soll. Das wäre eine ganze Menge, allerdings gibt es Einschränkungen. Das Sicherheitsteam von Android gab bekannt, dass alle Geräte ab Android 5.0 bereits durch entsprechende Änderungen am Kernel durch SELinux geschützt. Ebenso seien ältere Android-Versionen nicht automatisch betroffen, sondern nur dann, wenn der verwendete Linux-Kernel mindestens auf dem Versionsstand 3.8 steckt, denn mit dieser Version wurde der fehlerhafte Code erst implementiert. Viele Android-Smartphone und -Tablets, die noch Android 4.4 oder älter nutzen, arbeiten allerdings auf noch älteren Kernels, die den Schadcode dann ebenfalls nicht besitzen sollen.

Betroffene Nutzer berichten in Forenbeiträgen aber auch davon, dass die Schwachstelle auf neuere Kernels portiert wurde. Besonders Sony-Handys seien unter den ungeschützten Modellen.

Android-Hacker brauchen viel Zeit

So ganz einfach ist es wohl zudem nicht, den Ganzzahl-Überfluss auszulösen. Auf einem leistungsstarken Desktop-Rechner dauert dies offenbar bereits rund 30 Minuten, auf dem Smartphone deutlich länger. In der Nacht jedoch, wenn ein Smartphone stundenlang ohne Benutzung herumliegt, wäre so eine Zeitspanne leicht zu nutzen. An die Gefährlichkeit von Stagefright wird das aktuelle Problem jedoch nicht heranreichen - zum Glück.

Mehr zum Thema: Smartphone, Tablet, Mobile Betriebssysteme

via Golem

Gefällt dir der Artikel?
Gefällt mir
Gefällt mir nicht
Kommentar schreiben

Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.

Du bist nicht dabei?
Werde Teil der Community
Registriere Dich jetzt kostenlos! | Login
Sichere Dir Deinen Usernamen, damit Deine Beiträge und Bewertungen nicht verloren gehen.
 
Kommentare

Es wurden noch keine Kommentare abgegeben.

 
Anzeige
Aktuelle Geräte im Test
Anzeige