Google hat am Montag das Android-Sicherheitsupdate veröffentlicht, das erfreulicherweise noch am selben Tag auf die Pixel 6-Smartphones ausgerollt wurde und einige Verbesserungen im Gepäck hatte. Doch leider lässt man die derzeit wichtigste Sicherheitslücke auf den Smartphones weiterhin offen und es deutet sich an, dass das schon wieder an Tensor und dessen Update-Problemen liegt.
Sicherheitslücken sind etwas völlig alltägliches und rein statistisch in jedem digitalen Produkt zu finden, wenn man nur lange danach sucht. Aber es gibt auch besonders schwere Lücken, die Angreifern sehr umfangreiche Möglichkeiten bieten und weit verbreitet sind – dazu gehört auch die vor einigen Wochen entdeckte Sicherheitslücke Dirty Pipe. Diese würde es Angreifern ermöglichen, die volle Kontrolle über das System zu übernehmen.
Dirty Pipe ist eine schwere Lücke im aktuellen Linux-Kernel und betrifft daher nur relativ neue Geräte, zu denen unter anderem das Samsung Galaxy S22 sowie die Pixel 6-Smartphones gehören. Doch während Samsung die Lücke bereits gestopft haben und das Problem mit dem April-Update aus der Welt geschafft haben will, sieht das bei Google ganz anders aus. In den offiziellen Update-Listen ist von Dirty Pipe keine Rede und ein Blick auf den Kernel zeigt, dass dieser nicht angerührt wurde.
Google hat das Sicherheitsupdate zwar pünktlich ausgeliefert, aber lässt die derzeit schwerwiegendste Lücke weiterhin offen. Gäbe es technisch keine andere Möglichkeit, wäre das vielleicht akzeptabel. Doch Samsung zeigt, dass die Lücke geschlossen werden kann: Mehr noch, Samsungs Patch besteht aus dem offiziellen Android-Fix, der von Google bereitgestellt wurde.
The Dirty Pipe vulnerability – tracked by CVE-2022-0847 – isn't mentioned in the April 2022 ASB, though a patch for it is in android12-5.10-2022-03_r1 and has been backported to android12-5.10-2022-01_r4, android12-5.10-2022-02_r2, and android12-5.10-2021-11_r10. https://t.co/xnMEemMuVY
— Mishaal Rahman (@MishaalRahman) April 4, 2022
Halten wir also fest: Google hat die Sicherheitslücke bei Android gestopft, diesen Fix aber nicht für die eigenen Pixel 6-Smartphones angewendet. Die Vermutung liegt nahe, dass das wieder etwas mit Tensor zu tun hat, dem ersten Google-SoC. Dieser Chip hat schon in den vergangenen Monaten dafür gesorgt, dass Google die Updates nicht pünktlich oder im vollen Umfang liefern konnte. Gut möglich, dass es auch beim Dirty Pipe-Fix Probleme gab.
Es ist eine kuriose Situation, dass Samsung das Problem mit Googles Hilfe fixen konnte, aber Google wiederum nicht mit Samsungs Hilfe. Tensor basiert auf Samsung-Technologie und Google arbeitet für Updates eng mit den Südkoreanern zusammen. Natürlich ist der Smartphone-Hersteller Samsung nicht mit dem Komponenten-Hersteller Samsung zu vergleichen, aber dennoch eine sehr unschöne Situation, dass Google hier mutmaßlich einen weiteren Monat passen muss.
Vielleicht folgt aber auch noch ein weiteres Update im Laufe der nächsten zwei Wochen. Wir wissen es nicht. Pixel 6-Nutzer sind es mittlerweile gewohnt, dass Googles Kommunikation nicht die allerbeste ist und Probleme so lange totgeschwiegen werden, bis man einen Fix ankündigen kann. Hoffentlich bald.
UPDATE: Vier Tage später ist der Bugfix endlich da, aber nur für Beta-Nutzer.
» Pixel 6 & Pixel 6 Pro: Neue Beta stopft Sicherheitslücke Dirty Pipe – alle anderen Nutzer müssen weiter warten