Qualcomm erklärt sich zu Android-Sicherheitslücken und QuadRooter

Gestern hatte Sascha über vier neue Sicherheitslücken an mobilen Endgeräten gebloggt: Betroffen sind konkret Smartphones und Tablets mit Android sowie Chips von Qualcomm. Ursache sind die Treiber des Herstellers. Zwar hat Qualcomm bereits Aktualisierungen veröffentlicht, da man seit einiger Zeit über das Problem Bescheid weiß, es liegt aber an den Herstellern und Mobilfunkanbietern die Updates auszuliefern. Qualcomm erklärt den ganzen Fall nun in einer Stellungnahme nochmals ausführlicher und verweist darauf, dass man entgegen der Berichte von gestern sogar schon für alle vier Verwundbarkeiten Patches bereitgestellt habe.

So hieß es gestern noch, dass erst drei Lücken geschlossen seien und das September-Update dann die vierte Verwundbarkeit ausmerze. Das stimmt wohl auch. Qualcomm wiederum ergänzt aber, dass man gesondert „Patches für alle vier Verwundbarkeiten Kunden , Partnern und der Open-Source-Community zwischen April und Juli“ bereitgestellt habe. Tatsächlich stellt Qualcomm aber auch nur drei Links zu Code Aurora bereit, die ich hier für euch anzähle:

Eins (CVE-2016-5340)

Zwei (CVE-2016-2504, CVE-2016-2503)

Drei (CVE-2016-2059)

Der zweite Link deckt allerdings die beiden Sicherheitslücken CVE-2016-2504 und CVE-2016-2503 ab, so dass es mit den Verwundbarkeiten passen sollte. Veröffentlicht wurden die Patches laut den Angaben bei Code Aurora jeweils am 29. April, 8.Juli und 28. Juli 2016. Dass Qualcomm so flott zu den Sicherheitslücken Stellung bezogen hat, ist lobenswert. Allerdings will der Hersteller sich wohl hauptsächlich nicht den schwarzen Peter zuschieben lassen, da es schon im Mai eine derartige Diskussion gegeben hatte. In der Tat liegt es nun an Qualcomms Partnern die Lücken zu schließen. Kritisieren werden jene aber vermutlich, dass Qualcomm überhaupt erst derartig signifikante Verwundbarkeiten übersehen konnte.