Handy - Navigation Alert! Patchday: Angreifer könnten ihre Rechte unter Android 10 bis 13 hochstufen

Wer ein Android-Gerät besitzt, sollte sicherstellen, dass die Software auf dem aktuellen Stand ist. Andernfalls sind Geräte verwundbar und Angreifer könnten etwa unberechtigt auf Daten zugreifen oder sich höhere Nutzerrechte verschaffen. Das aktuelle in den Einstellungen ablesbare Security Patch Level ist 2022-10-05.

Sicherheitspatches für Android 10, 11, 12, 12L und 13 veröffentlicht. Neben Google stellen unter anderem auch LG und Samsung monatlich Sicherheitsupdates zur Verfügung (siehe Kasten rechts). Leider ist aber immer noch nicht sichergestellt, dass alle am Markt befindlichen Android-Geräte die Patches bekommen.

Framework- und System-Lücken​

Am gefährlichsten stuft Google eine Schwachstelle im Framework ein. Welche Lücke das konkret ist, geht aus der Beschreibung nicht hervor. Sind Attacken erfolgreich, sollen Angreifer mit höheren Nutzerrechten dastehen. Für einen Angriff sollen keine zusätzlichen Ausführungsrechte vonnöten sein.
Setzen Angreifer erfolgreich an Sicherheitslücken im Media Framework und System an, könnten sie auf eigentlich unzugängliche Informationen zugreifen. Auch DoS-Attacken sind vorstellbar. Weitere Schwachstellen im Kernel und in Kernel-Komponenten könnten Angreifern als Sprungbrett dienen, um ihre Rechte hochzustufen.

Weitere Angriffspunkte​

Außerdem könnten Angreifer Lücken in unter anderem MediaTek- und Qualcomm-Komponenten ausnutzen. Darunter fällt eine "kritisch" WLAN-Lücke (CVE-2022-25720). An dieser Stelle könnte es zu einem Speicherfehler (out of bound) kommen. Darüber können Angreifer in der Regel Schadcode auf Geräten ausführen.

, bekommt Googles Pixel-Serie zusätzliche Sicherheitsupdates. Darunter sind zwei als kritisch eingestufte Lücken in Kernel- und Trusty-Komponenten.
Quelle: heise