Android Update Jänner 2021 – Wurden Sicherheits-Patches bisher übersehen?

Android Jänner Update 2020

Das neue Jahr beginnt mit einem Android Update (Jänner 2021) das eine Menge an Sicherheitsaktualisierungen bietet. Wie Google selbst einräumt, wurde diesmal eine ungewöhnlich große Anzahl an Sicherheitslücken damit ausgeräumt. Eine dieser Lücken machte uns aber stutzig, da diese bereits einige Jahre bekannt war und bisher nicht gelöst wurde.

Das Update ist  nur 28MB groß, dauert aber fast 45min

Das aktuelle Update für Android 2021 ist zwar diesmal nur 28MB groß, es dauert aber dafür ungewöhnlich lange es zu installieren. Der Grund liegt darin, dass hier besonders viele Services und Dienste die den verschiedenen Frameworks von Android vorhanden sind ausgetauscht werden. Da es sich um ein vornehmlich sicherheitsbezogenes Update handelt, ist dies aber notwendig geworden. Nutzer sollten sich aber dafür Zeit nehmen, denn der ganze Vorgang kann auch auf neuen Geräten fast eine Stunde andauern.

Die bisher ungelösten Fälle – Libexif

Konkret geht es um ein Problem im Media Framework von Android. Über diese Lücke konnte Schadcode durch Bilder in Webseiten eingeschleust werden. Theoretisch konnten Angreifer damit auch Rechte bei höheren Prozessen bei Android erhalten und damit auch viele Angriffe bis zur Übernahme des Gerätes durchführen.

Google selbst stufte das Risiko, dass diese Lücke verursachte als „hoch“ ein. Was dabei schnell auffällt ist die sehr alte CVE-Nummer: Der Eintrag in die „Common Vulnerabilities and Exposures“-Liste, in der solche sicherheitsrelevanten Fehler erfasst werden, verweist nämlich zunächst auf das Jahr 2016 – konkret lautet die Bezeichnung hier CVE-2016-6328. Und tatsächlich findet sich in der Fehlerdatenbank von Linux-Distributor Red Hat ein entsprechender Eintrag aus dem August 2016. Es geht dabei um die Libexif, eine Bibliothek, die zur Verarbeitung der Metadaten von JPEG-Bildern genutzt wird.

Damals schätzten die Entwickler die Gefahr allerdings nur als gering ein, und verzichteten auf einen Bugfix. Eine Herangehensweise, die sich in Nachhinein als Fehler erwies, im Jahr 2018 entschlossen sich dann diverse Linux-Distributionen den besagten Fehler mittels Update zu bereinigen. Erst dann taucht das Problem erstmals in den üblichen Warnhinweisen auf.

Sicherheitproblem übersehen?

Das wirft aber natürlich die Frage auf, wieso dieser Fehler erst jetzt behoben wurde. Es ist zwar theoretisch möglich, dass Google diese Lücke bereits vorher geschlossen hatte aber diese erst jetzt offiziell beseitigt wurde. Es kam bisher bereits öfters vor, dass Sicherheits-Batches erst in späteren Updates genannt wurden, die Probleme aber bereits früher beseitig wurden. Aber ein anderer Erklärungsversuch ist auch valide, denn die Libexif-Version die in Android integriert wurde, wurde erst kürzlich und nach jahrelangen Stillstand durch den Entwickler erneuert und es kann sein, dass dadurch erst das problem erneut aufgefallen ist. Denn seit dem Update durch die Entwickler mehrten sich auch in zahlreichen Linux Foren die Warnungen über diese Lücke im internet. Google kann dadurch darauf erneut aufmerksam geworden sein.

Android Sichereitsupdates im Jänner 2021

Die Google Android Bulletin „Pixel Update Bulletin – Januar 2021“ zeigt einen Überblick über alle angegangenen Batches an. Dabei werden die einzelnen Updates zwar beschrieben und mit neuen Versions-Nummern angegeben, es lässt sich daraus aber nicht genau schließen ob diese Batches nicht bereits vorher behoben waren. Als erstes werden wie gewohnt die eigenen Pixel Geräte versorgt. Andere Hersteller von Smartphones müssen diese Updates vor einer Veröffentlichung selbst freigeben.

Android Update Jänner 2020
Android Update Jänner 2021

Andere Lücken sind ebenso gefährlich

Das Jänner 2021-Update bringt aber auch Fehlerbereinigungen für aktuellere Lücken, und von denen sind einige gar mit der höchsten Warnstufe „kritisch“ versehen. Dazu zählt ein Bug über den ein Angreifer ein Gerät von außen über eine spezielle Zeichenfolge zum Absturz bringen kann. Näherer Details gibt es dabei noch nicht, die Beschreibung lässt aber vermuten, dass hier mittels SMS oder anderen Nachrichten ein Gerät zum Absturz gebracht werden konnte – und potentiell nachher die betreffende App oder gar das gesamte System nicht mehr startbar war. Immerhin qualifiziert Google diesen Angriff als „permanente Denial of Service“-Lücke. Eine weitere kritische Lücke hätte ebenfalls zum Einschmuggeln von Schadcode verwendet werden könnten. Dazu kommen noch – wie gewohnt – einige kritische Probleme in den proprietären Treibern von Qualcomm.

Sicherheit Updates wie gewohnt, weiter  nicht auf jedem Smartphone verfügbar!

Wie gewohnt ist in diesem Zusammenhang natürlich auch erneut zu erwähnen, dass die eigenen Google Pixel Geräte ab der Version 3 diese Batches bereits erhalten haben, während andere Geräte wie gewohnt darauf warten müssen, dass die Hersteller diese freigeben oder dies auch nicht mehr erfolgen wird. Demzufolge sollten sich die Nutzer der Geräte die diese Sicherheits-Batches nicht erreichen werden auch die Frage stellen, ob sie dem eigenen Gerät und dessen Sicherheit nun weiter vertrauen können.

Google Pixel 2 erhält Update nicht mehr!

Das Google Pixel 2 erhält dieses Update nicht mehr, da der Updatesupport mit Dezember 2020 eingestellt wurde. Erst ab den Modellen „3“ und neuer bietet Google bisher noch weiterhin die regelmässigen Aktualisierungen an.

 


Erstellt am:7. Januar 2021


Sicherheit im Internet Hilfe

Sicherheit mit VPN - Hilfe zur Auswahl!

Schreibe einen Kommentar