Qualcomm: Warum der Android-Sicherheits-Patch April so wichtig ist
Android-Sicherheits-Patches, nicht jeder bekommt sie, aber wichtig sind sie. Das zeigt der April-Patch wieder einmal sehr gut, der ja bereits auf einigen Geräten angekommen ist. Behoben wird mit dem Patch nämlich eine letztes Jahr entdeckte (aber erst jetzt veröffentlichte) Sicherheitslücke. Angreifern ist es so möglich, die Private Keys von Smartphones oder Tablets zu stehlen.
Die Lücke benötigt für die Ausnutzung zwar Root-Zugriff, es gibt aber genug Malware, die eben genau dies relativ unproblematisch auf Android-Geräten erledigt. Zugriff gibt es dann auf Qualcomm Secure Execution Environment (QSEE), also einen Bereich, der eigentlich vor fremden Zugriff schützen soll. Macht er ohne den aktuellen Patch aber nicht. Geführt wird die Lücke als CVE-2018-11976.
Dass diese Lücke überhaupt möglich ist, ist ein dicker Bug, denn genau das soll durch QSEE verhindert werden, selbst wenn jemand volle Kontrolle über ein Gerät erhält. Unklar, warum so etwas nicht früher auffällt. Betroffen sind da auch nicht wenige Prozessoren von Qualcomm:
IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130
Falls Ihr ein Smartphone mit einem der betroffenen Prozessoren habt, lasst doch in den Kommentaren einmal hören, ob Ihr den aktuellen Sicherheit-Patch schon erhalten habt.
Moto G7 Plus mit SD 636 derzeitiger Stand: Januar 2019
Das Moto G5s mit SD430 hat aktuell den Stand Februar 2019. Die Update-Politik von Motorola/Lenovo kann man nicht mehr so richtig nachvollziehen.
Die Frage ist, ob auch alle Hersteller, die den April Patch ausgeliefert haben, auch diesen Patch mitgeliefert haben. Bekanntermaßen gibt es ja eine Diskrepanz zwischen normalen Patches und Patches in Treibern u.ä.
Einfach mit snoopsnitch ausprobieren. Wenn dann nicht wirklich gepachted hersteller öffentlich drauf aufmerksam machen
du glaubst doch nicht ernsthaft, dass das irgendeinen Hersteller interessiert? Dass die Updatepolitik bei einigen immernoch grauenhaft ist, ist allgemeinhin bekannt. Eine Meldung mehr oder weniger hebt keinen mehr an
HTC U11 der zweiten Generation. Patchstand Juni 2018. Hahahahaha.
Ich habs mir damals gekauft, weil HTC so vorbildlich gepatcht hat…
Mit einem Pixel 2 bin ich natürlich beim Stand vom 5. April 2019. Deshalb habe ich es ja hauptsächlich gekauft; ich wünsche mir sehr, dass diese schnellen Sicherheitsupdates auch bei anderen Herstellern der Standard werden.
Nokia 8 auf März 2019 (der hatte mächtig verzug gab wohl Probleme bei Nokia damit) mal sehen wie lang der april auf sich warten lässt
dito. Noch März 2019
Auch bei OnePlus hatte der März Patch richtig Verspätung
Mein Redmi Note 5 mit Developer Rom hat den April Patch bereits seit Ende März.
Pixel 3 und Pixel C bei Stand 05.04.2019 so soll es sein, nächste Woche kommt der Maipatch. Moto Z² Force abgeschlagen auf dem Abstellgleis mit Stand 01.01.2019 und noch Android 8.0…und das als von Google empfohlenen Businessgerät mit einigen Google Auflagen für diesen begehrten Status. Tja, setzen 6.
Motorola ist ein Drecksladen. Zum einen bringen sie keine Updates mehr, obwohl mein Moto Z Play noch in der Garantie ist. Sobald ich allerdings den Bootloader entsperre, um mir selbst zu helfen, verliere ich die Garantie. Offizielle Antwort des Supports. Motorola ist damit für die Zukunft von der Liste gestrichen.
Sony XZ1 Patch von 04.2019
Stand Dez 2017:
HTC U11 int. Version (weil es kurz nach Erscheinen nur die mit 128GB gab).
Und ihr glaubt alte Versionen zu haben 🙂
Danke HTC
Moto G6 Plus: Android 9, 1. Februar 2019
Moto G5s Plus: Android 8.1.2, 1. Februar 2019
Moto G5 Plus: Android 8.1.2, 1. Dezember 2018
Ich habe das motorola g6 mit android 9 und Sicherheitspatch 1.02.19. Tja Motorola hat es schwer die Updates vernünftig zu veröffentlichen
Leider wird mindestens die Hälfte der Geräte mit den oben genannten Prozessoren dieses Update nicht mehr erhalten.
Mi A1
Patch 5.4.2019 lädt gerade. Wobei ich die Updates eigentlich immer über eine manuelle Suche bekomme. Weiß jemand wann das Ding selber sucht?
Oneplus 6 Patchlevel April 2019 in der Open Beta
Wie oft führt man unsinnige Diskussionen darüber, dass Smartphone A eine bessere Kamera als Smartphone B hat, oder dass Smartphone A mehr MHz/GHz oder mehr RAM hat als Smartphone B. Unsinnige Lager-Kämpfe über Kleinigkeiten, die oftmals nur am Rande eine Rolle spielen, da nur wenige Menschen die Leistung ihres Smartphone voll ausschöpfen.
Auf so wichtige Dinge wie „Sicherheitspatches“ achten leider nur sehr wenig Leute – ist jedenfalls mein Eindruck wenn ich mir meinen Freundeskreis so anschaue.
Da bin ich doch froh, dass ich auf das Pixel gesetzt habe. Während andere Leute sich gegenseitig verbal verkloppen über unsinnige Benchmark-Ergebnisse, bin ich total happy mit meinem aktuell-gepatchten Gerät. Ist mir persönlich wichtiger als irgendwelche Benchmark-Ergebnisse.
Na ja, ein Pixel ist teuer & hat andere Kompromisse, z. B. kein SD-Slot. Wenn ein Gerät die Features die ich im Alltag brauche nicht hat, dann mag es noch so tollen Support haben – das hilft mir dann nicht. Außerdem gibt es wenige Geräte, bei denen man sicher sein kann, dass es mit den Updates klappt.
Vielleicht wäre es hilfreich gewesen in die News mit aufzunehmen, dass der Bug erst mit dem Sicherheitsupdate April 2019 gefixt wurde.
Sonst kann man schlecht nachvollziehen ob man nun noch betroffen ist oder nicht 😉
Ich zitiere mal frech aus dem ersten Absatz: „Das zeigt der April-Patch wieder einmal sehr gut, der ja bereits auf einigen Geräten angekommen ist. Behoben wird mit dem Patch nämlich eine letztes Jahr entdeckte (aber erst jetzt veröffentlichte) Sicherheitslücke.“
Ist der im 1. April-Update dabei (wahrscheinlich wenn kritisch) oder erst im 5. April-Update?
wenn der Anwender zu unfähig ist unter Mein Gerät zu schauen was da als Sicherheitsstand steht dann braucht man eigentlich die Frage 1.4 oder 5.4 nicht stellen
Wieso? Meine Frage war an den Artikelersteller gerichtet. Es gibt zwei Patchlevels jeden Monat. Der als 5. des Monats ausgewiesen ist, hat alle Punkte schon mit einbezogen während bei dem, der als 1. des Monats ausgewiesen ist, nicht alle Patches hat. Bei manchen Handys wird auf den Stand des 1. des Monats aktualisiert, bei anderen auf den Stand des 5.
Stand 5.4. wird benötigt.
Mein Sony XZ2 compact wurde am 9.4. auf Stand 1.4.2019 gepatcht
Nexus 5x mit LineageOS auf Stand 01.04.2019 gepatcht.
Nokia 8 Sirocco… 1. Februar 2019
Nokia 7plus stan 1ste März 19.. Testgerät S10e Stand April icl Kamara update mit Nachtmodus
LG G6 – Stand 01.04.2019. Der Patch kam letzte Woche