Android: Oktober-Patch stellt sich gegen aktiv ausgenutzten 0-Day-Exploit


Wie wichtig schnell verteilte Sicherheits-Updates unter Android sind, zeigt mal wieder der kommende Oktober-Patch, der in den nächsten Tagen eintrudeln sollte. Er schließt nämlich eine Lücke, die einerseits gar nicht bestehen dürfte, zum anderen aber auch aktiv ausgenutzt wird. Angreifer haben dabei zwei Möglichkeiten, volle Kontrolle über das Smartphone zu erhalten. Entweder sie bringen das Opfer dazu, eine manipulierte App zu installieren oder sie versuchen einen Online-Angriff, der in Kombination mit einer weiteren Lücke in Chrome Erfolg verspricht.

Die Lücke ist an sich alt und auch schon geschlossen, es handelt sich um eine Lücke im Linux-Kernel, die geschlossen wurde und der Fix floss auch in den Android-Kernel ein, die Versionen 3.18, 4.4 und 4.9 sind dahingehend sicher. Die Lücke wurde allerdings nicht mit einer CVE versehen und das ist wohl auch der Grund, warum sie nie über die Sicherheits-Patches geschlossen wurde.

Das soll auch die Erklärung dafür sein, warum Pixel 1 und Pixel 2 von der Lücke betroffen sind, Pixel 3 und Pixel 3a aber nicht. Außerdem sind Smartphones weiterer Hersteller betroffen. Folgende Modelle sind auf jeden Fall angreifbar, das heißt aber nicht, dass die Liste alle angreifbaren Smartphones beinhaltet:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

Da die Lücke aktiv ausgenutzt wird, wurde auch nicht 90 Tage mit der Veröffentlichung gewartet, sondern nur 7. Die Patches stehen für Android-Partner bereit und werden eben auch mit einem aktualisierten Sicherheits-Patch auf die Smartphones gebracht. Haltet da mal die Augen offen, wie lange die Hersteller benötigen. Gefahr für den Privatanwender? Wohl eher gering, denn die Ausnutzung der Lücke wird NSO zugeschrieben, einer Gruppe, die Angriffe zum Abhören/Auslesen von Smartphones für Regierungen erstellt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Mein Samsung Galaxy A50 hat bereits am 02. Oktober ein Update bekommen mit der Sicherheitspatch-Ebene vom 01.Oktober 2019. Das ging dieses mal flott bei Samsung.

    • G7 Play steckt im Patch vom Juni 2019. Bis bei Moto was weitergeht bin ich wieder zurück zu Redmi. Absolute Ranzfirma

      • FriedeFreudeEierkuchen says:

        Yep. Moto ist definitiv eine Ranzfirma geworden.
        Mein Moto Z Play bekam bereits innerhalb der Garantiezeit keine Updates mehr. Davor auch nur in großen Abständen. Beim Moto Keyboard Mod hat der Entwickler auch einige Einblicke hinter die Kulissen bei Motorola gegeben. Das war alles extrem unprofessionell. Da wurde zum Beispiel ein komplettes Team für OTA-Updates entlassen, nur um danach ein neues Team aufzubauen, das sich erst einmal komplett neu einarbeiten musste. Auch sonst hat es bei der Kommunikation und Unterstützung stark gehapert.
        Als ich nach Update-Ende den Support angefragt habe, ob ich mir durch Entsperren des Bootloaders und CustomROM selbst helfen soll oder ob da noch etwas gegen besonders krasse Sicherheitslücken kommt, war die Antwort maximal schlecht:
        Nein, man plane auch die gravierende PNG-Lücke nicht zu schließen. Und natürlich würde ich die Garantie verlieren, wenn ich mir selbst ein aktuelles CustomROM aufspielen würde.
        Super: keine Sicherheit vom Hersteller und dann noch verhindern, dass man sich selbst absichert.

        Fazit: Ich kaufe kein Motorola mehr, solange sich die Firma nicht grundsätzlich neu aufstellt (was ich für unwahrscheinlich halte).

  2. Mein Mi A1 hat heute noch den Patch-Status September 2019.

    • litePhotoPro says:

      Der Google-Oktober-Sicherheitsupdate ist bei mir in den letzten Stunden angekommen..! 🙂
      Etwas träge in der Zustellung, aber immerhin..! 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.