Vor knapp zwei Wochen wurde Google Chrome 91 veröffentlicht und hatte sehr viele Neuerungen im Gepäck, die längst bei allen Nutzern angekommen sein sollten. Nun schiebt Google das übliche Sicherheitsupdate hinterher, das man in diesem Monat nicht auf die leichte Schulter nehmen und sofort installieren sollte. Es gibt Anzeichen, dass ein größerer Angriff unmittelbar bevorsteht.
Google und Apple haben vor knapp einem Jahr eiligst eine Infrastruktur geschaffen, um das Contact Tracing per Smartphone zu ermöglichen und haben die entsprechende Funktionalität in die Betriebssysteme Android und iOS integriert. Auf technischer Seite hat das von Beginn an nahezu problemlos funktioniert, doch nun wurde eine Sicherheitslücke bekannt, die Google zu Beginn wohl gar nicht beheben wollte: Vorinstallierte Apps konnten die gesammelten Daten auslesen.
Apples Smartphone-Ökosystem gilt allgemein als sehr sicher, denn durch zahlreiche Schutzmaßnahmen und den bekannten goldenen Käfig wird es Angreifern (glücklicherweise) sehr schwer gemacht. Aber auch iOS ist nicht perfekt und so konnte Googles Project Zero nun verkünden, eine Lücke gefunden zu haben, die in den Medien mit zahlreichen Superlativen beschrieben wird: Ein Angreifer konnte die Kontrolle über das iPhone übernehmen, ohne dass der Besitzer dies bemerkt oder eine Interaktion notwendig ist.
Google stopft einmal pro Monat durch das Android-Sicherheitsupdate zahlreiche Lücken im Smartphone-Betriebssystem, die in den allermeisten Fällen nicht aktiv ausgenutzt worden sind und meist nur ganz bestimmte Komponenten betreffen. Jetzt haben Sicherheitsforscher eine neue Schwachstelle im Betriebssystem entdeckt, die einen Großteil aller Android-Nutzer betrifft und durch geschicktes Verstecken Daten abgreifen kann: Strandhogg 2.0.
Etwa alle sechs Wochen veröffentlicht Google eine neue Version des Chrome-Browsers und dazwischen kann es immer wieder kleinere Sicherheitsupdates geben, die dringliche Bugs und Sicherheitslücken beheben. Wie eine interessante Studie nun zeigt, könnte sich Google durch einen internen Wechsel sehr viel Arbeit ersparen, denn 70 Prozent aller Sicherheitslücken haben die gleiche Ursache - Tendenz aktuell steigend.
Vor gut zwei Monaten sorgte eine Sicherheitslücke bei PayPal für großes Aufsehen, die in Verbindung mit Google Pay ausgenutzt werden konnte und einigen Nutzern temporär bis zu vierstellige Beträge gekostet hat. Nach einigen Tagen wurde es ruhig, die Nutzer entschädigt und das Problem vergessen. Tatsächlich soll PayPal die verwendete Sicherheitslücke aber erst in den letzten vier Wochen geschlossen haben.
Die Problematik rund um die unberechtigten PayPal-Abbuchungen bei Google Pay scheint trotz anderslautender Behauptungen von PayPal noch immer kein Ende zu finden. Weil die weiteren Auswirkungen der Sicherheitslücke kaum absehbar sind, sollte man als Nutzer nun selbst aktiv werden und die Verbindung zwischen Google Pay und PayPal vorerst vollständig kappen. Das ist tatsächlich sehr einfach möglich, aber nicht auf dem Wege, den man vermuten würde.
Seit dem Wochenende sorgt die PayPal-Sicherheitslücke in Kombination mit Google Pay für großes Aufsehen, denn bei zahlreichen Nutzern wurden große Beträge im vierstelligen Bereich abgebucht - natürlich unberechtigt und ohne ihr wissen. Gestern hat PayPal offiziell verkündet, dass das Problem behoben ist doch nun zeigt sich, dass das wohl nicht der Fall ist. Laut dem Entdecker der Lücke ist alles sogar noch schlimmer als bisher gedacht.
Google veröffentlicht etwa alle vier Wochen, stets zu Anfang eines Monats, das Android-Sicherheitsupdate und stopft mit diesem meist Dutzende Sicherheitslücken und Bugs im Betriebssystem. Der Rollout der Sicherheitsupdate auf die Android-Smartphones liegt allerdings in der Verantwortung der Hersteller, die diese häufig noch geringfügig anpassen müssen. Ein Google-Mitarbeiter beklagt nun, dass dabei manchmal mehr Sicherheitslücken aufgemacht als gestopft werden.
Seit einer Woche wird das Android-Sicherheitsupdate für Februar ausgerollt und stopft wieder mehrere Dutzend Sicherheitslücken im Betriebssystem und systemnahen Komponenten. Jetzt haben Sicherheitsforscher eine Lücke öffentlich gemacht, die es einem Angreifer erlaubt, per Bluetooth Schadcode auf beliebigen Smartphones einzuschleusen und auszuführen. Mit dem Februar-Sicherheitsupdate wird die Lücke auf einigen Smartphones behoben. Aber längst nicht auf allen.