Google hat gestern Abend die zweite Android 12 QPR3 Beta veröffentlicht, die als Vorschau für das im Juni erwartete größere Android-Update inklusive Pixel Feature Drop gilt. Bisher sind keine relevanten Neuerungen bekannt, doch das Update umfasst einen Bugfix, den wir eigentlich schon einige Tage früher und in breiter Masse erwartet hätten: Die Dirty Pipe-Sicherheitslücke wird gestopft.
Google hat am Montag das Android-Sicherheitsupdate veröffentlicht, das erfreulicherweise noch am selben Tag auf die Pixel 6-Smartphones ausgerollt wurde und einige Verbesserungen im Gepäck hatte. Doch leider lässt man die derzeit wichtigste Sicherheitslücke auf den Smartphones weiterhin offen und es deutet sich an, dass das schon wieder an Tensor und dessen Update-Problemen liegt.
Nicht nur Smartphones und die Betriebssysteme haben sich schnell weiterentwickelt, sondern auch die Mobilfunkstandards haben in den letzten drei Jahrzehnten große Schritte gemacht, wobei hierzulande derzeit vor allem 4G und 5G eine Rolle spielen. Doch weil Smartphones soweit wie möglich Abwärts-kompatibel sein sollen, wird noch immer 2G unterstützt. Mit Android 12 könnt ihr die Unterstützung des alten Standards deaktivieren - und das solltet ihr vielleicht auch tun.
Google hat vor zehn Jahren das Vulnerabilitiy Rewards Program gestartet, das sich von Beginn bis Heute als großer Erfolg herausgestellt und das eine oder andere Google-Produkt sicherer gemacht hat. Nach einem Jahrzehnt verleiht man dem Ganzen nun ein neues Gesicht und bringt es unter das Dach der Google Bug Hunters. Das ist aus deutscher Sicht nur ein deutlich besserer Name, sondern bringt auch neue Herausforderungen und Motivationen mit.
Vor knapp zwei Wochen wurde Google Chrome 91 veröffentlicht und hatte sehr viele Neuerungen im Gepäck, die längst bei allen Nutzern angekommen sein sollten. Nun schiebt Google das übliche Sicherheitsupdate hinterher, das man in diesem Monat nicht auf die leichte Schulter nehmen und sofort installieren sollte. Es gibt Anzeichen, dass ein größerer Angriff unmittelbar bevorsteht.
Google und Apple haben vor knapp einem Jahr eiligst eine Infrastruktur geschaffen, um das Contact Tracing per Smartphone zu ermöglichen und haben die entsprechende Funktionalität in die Betriebssysteme Android und iOS integriert. Auf technischer Seite hat das von Beginn an nahezu problemlos funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die Google zu Beginn wohl gar nicht beheben wollte: Vorinstallierte Apps konnten die gesammelten Daten auslesen.
Apples Smartphone-Ökosystem gilt allgemein als sehr sicher, denn durch zahlreiche Schutzmaßnahmen und den bekannten goldenen Käfig wird es Angreifern (glücklicherweise) sehr schwer gemacht. Aber auch iOS ist nicht perfekt und so konnte Googles Project Zero nun verkünden, eine Lücke gefunden zu haben, die in den Medien mit zahlreichen Superlativen beschrieben wird: Ein Angreifer konnte die Kontrolle über das iPhone übernehmen, ohne dass der Besitzer dies bemerkt oder eine Interaktion notwendig ist.
Google stopft einmal pro Monat durch das Android-Sicherheitsupdate zahlreiche Lücken im Smartphone-Betriebssystem, die in den allermeisten Fällen nicht aktiv ausgenutzt worden sind und meist nur ganz bestimmte Komponenten betreffen. Jetzt haben Sicherheitsforscher eine neue Schwachstelle im Betriebssystem entdeckt, die einen Großteil aller Android-Nutzer betrifft und durch geschicktes Verstecken Daten abgreifen kann: Strandhogg 2.0.
Etwa alle sechs Wochen veröffentlicht Google eine neue Version des Chrome-Browsers und dazwischen kann es immer wieder kleinere Sicherheitsupdates geben, die dringliche Bugs und Sicherheitslücken beheben. Wie eine interessante Studie nun zeigt, könnte sich Google durch einen internen Wechsel sehr viel Arbeit ersparen, denn 70 Prozent aller Sicherheitslücken haben die gleiche Ursache - Tendenz aktuell steigend.
Vor gut zwei Monaten sorgte eine Sicherheitslücke bei PayPal für großes Aufsehen, die in Verbindung mit Google Pay ausgenutzt werden konnte und einigen Nutzern temporär bis zu vierstellige Beträge gekostet hat. Nach einigen Tagen wurde es ruhig, die Nutzer entschädigt und das Problem vergessen. Tatsächlich soll PayPal die verwendete Sicherheitslücke aber erst in den letzten vier Wochen geschlossen haben.