BSI warnt vor neuen kritischen Lücken in Android 4.4.4 – 6.0.1

android 

Gleich zu Anfang des Jahres hat Google ein Sicherheits-Update für Android veröffentlicht, das in diesen Tagen an alle Nexus-Smartphones ausgeliefert wird und die betroffenen Lücken stopft. Doch wie üblich werden die Besitzer von allen anderen Smartphones wieder sehr lange auf das Update warten müssen bzw. es niemals bekommen. Um die Dringlichkeit der gestopften Lücken noch einmal zu verdeutlichen, hat der BSI nun eine Technische Warnung herausgegeben, die aber eher ein schlechter Scherz ist.


Seit der verheerenden Stagefright-Lücke in Android hat sich Google verpflichtet, regelmäßig Sicherheits-Updates bereit zu stellen und diese monatlich zu verteilen – und genau dies hat man gleich am Anfang dieser Wocher getan. Das Update stopft einige kritische Lücken im System, die unter anderem den Mediaserver betreffen, der schon seit dem vergangenen Jahr als offenes Scheunentor für Angreifer gilt. Doch leider wird diese Lücke aktuell nur auf Nexus-Geräten gestopft.

Android Sicherheitsupdate

Sobald Google eine Lücke gestopft hat, wird dieses Update auch allen Smartphone-Herstellern zur Verfügung gestellt, so dass diese die Lücken in ihren angepassten Versionen ebenfalls stopfen können. Doch in der Praxis sieht es meist so aus, dass die Hersteller das Update zwar in die aktuellen Versionen einpflegen und dieses mit den neuen Geräten ausliefern, aber alle anderen Kunden im Regen stehen gelassen werden. Zwar haben sich auch einige Hersteller wie Samsung zu den monatlichen Updates verpflichtet, doch praktisch wurde das bisher nicht umgesetzt. Vor allem die zeitnahe Auslieferung funktioniert in der Praxis überhaupt nicht.

Das BSI hat nun eine Warnmeldung herausgegeben, die noch einmal auf die Dringlichkeit dieses Updates hinweist und hat diesem die Risikostufe 4 gegeben. Alle Besitzer von Nexus-Smartphones sollten das bereit gestellte Update also dringend durchführen, alle anderen müssen eben auf die Gnade des Herstellers warten – was auch in der Meldung so beschrieben wird:

Aktualisieren Sie Android 4.4.4, 5.0 oder 5.1.1 auf die Version LMY49F sowie 6.0 oder 6.0.1 auf die Version 2016-01-01 über die automatische Update-Funktion innerhalb des Produktes, sobald eine dieser Versionen für Ihr Gerät verfügbar ist.

Betroffen sind also alle Betriebssysteme von 4.4.4 bis hin zum aktuellen 6.0.1 – und gerade die älteren Versionen (4.x) werden wohl kaum noch ein Update bekommen.



Google schließt mit den aktuellen Sicherheitsupdates für Android mehrere Sicherheitslücken, die es einem entfernten und nicht angemeldeten Angreifer ermöglichen, Informationen auszuspähen, Sicherheitsmechanismen zu umgehen sowie beliebige Befehle und Programme auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu übernehmen.

Zwar hat Google mittlerweile viele Teile des Betriebssystems in die Play Services ausgelagert, die direkt von Google aktualisiert werden, aber darin sind eben noch längst nicht alle kritischen Bereiche enthalten. Technisch wäre es wohl auch sehr schwer umzusetzen, alle Teile des Kernels und des Betriebssystem-Unterbaus auszulagern, und den Herstellern weiterhin die Möglichkeiten zur Anpassung zu lassen.

» Warnung beim BSI

[WinFuture]



Teile diesen Artikel:

comment Ein Kommentar zu “BSI warnt vor neuen kritischen Lücken in Android 4.4.4 – 6.0.1

  • Was heißt „alle Nexus-Smartphones“?
    Alle, die Android 4.4.4 oder aktueller haben? Alle seit Anbeginn der Nexus-Reihe? Alle aktuell unterstützten, also jünger als 2 Jahre?

Kommentare sind geschlossen.