Handy - Navigation Angriffe auf ältere Android-Geräte: Lücke in Mali-GPU nur teilweise geschlossen

Aufgrund mehrerer Schwachstellen im Treiber der Grafikeinheit Mali sind unter anderem Smartphone-Modelle von Samsung und Xiaomi verwundbar.

Verschiedene GPUs der Mali-Serie von ARM weisen mehrere Sicherheitslücken auf. Eine Schwachstelle nutzen Angreifer derzeit aus. Davon sind verschiedene Android-Geräte betroffen. Sicherheitsupdates gibt es aber nicht für alle Modelle.

Bedrohte Geräte​

Wie ARM in einer Sicherheitsmeldung aufführt, sind von den Lücken jeweils verschiedene Kernel-Treiberversionen der Grafikeinheiten Midgard (2013), Bifrost (2016) und Valhall (2019) betroffen. Letztere kommt etwa im Motorola Edge 40, OnePlus Nord 2, Samsung Galaxy S20 und Xiaomi Redmi K30/K40 zum Einsatz. Außerdem sind noch einige Treiberversionen der fünften Mali-Generation betroffen. Die konkret verwundbaren Ausgaben listet ARM in seinem Beitrag auf.

Der Bedrohungsgrad der derzeit ausgenutzten Lücke (CVE-2023-4211) ist noch nicht eingestuft. ARM spricht in diesem Kontext von möglicherweise begrenzten und gezielten Attacken. Der Beschreibung der Schwachstelle zufolge können Angreifer ohne Authentifizierung auf bestimmte Speicherbereiche zugreifen. Das klingt nach einer Speicherfehler-Attacke, über die Angreifer in der Regel Schadcode ausführen können. Auf die Lücke sind Sicherheitsforscher von Googles Project Zero gestoßen.

Darüber hinaus haben die Entwickler noch zwei weitere Sicherheitslücken (CVE-2023-33200, CVE-2023-34970) geschlossen. Auch hier sind unbefugte Speicherzugriffe möglich. Für alle Attacken benötigt ein Angreifer lokalen Zugriff. Das kann etwa über eine mit Schadcode präparierte App aus einem Drittanbieter-App-Store gegeben sein.

(Fehlende) Updates​

ARM gibt an, die Sicherheitsprobleme in den Treiberversionen r43p0, r44p1 und r45p0 gelöst zu haben. Da der Support für die Midgard-GPU mittlerweile ausgelaufen ist, bekommen damit ausgestattet Geräte keine Sicherheitsupdates mehr und sie bleiben verwundbar.

Den Entwicklern zufolge sind die Sicherheitsupdates bereits seit März 2023 verfügbar. Welche Hersteller von Android-Geräten sie bereits in ihre Firmwares aufgenommen haben, ist derzeit nicht bekannt. Unklar bleibt auch, welche Geräte die Updates überhaupt bekommen. Weitere Details dazu könnten im für Oktober anstehenden Android-Patchday veröffentlicht werden.



Quelle; heise

 

[edgonzo]

Aus diesem Grund sollten die Hersteller verpflichtet werden, Ihre Sicherheitsupdates länger als momentan, zu gewährleisten.

 

[yoshi2001]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Und das ist auch das große Problem bei der Updatepolitik der Hersteller!
Alte Smartphones sind einfach so löcherig, sodass deren Betrieb mittlerweile infrage gestellt werden muss.
Und es wird immer schlimmer werden.

 

[josef.13]

Patchday: Attacken auf Android 11, 12 und 13 beobachtet

Unter anderem Google hat wichtige Sicherheitsupdates für Android-Geräte veröffentlicht. Zwei Lücken haben Angreifer bereits im Visier.

Derzeit haben es Angreifer auf Smartphones und Tablets mit Android abgesehen. Sicherheitsupdates sind für bestimmte Geräte verfügbar.

Ausgenutzte Lücken

In einem Beitrag zählt Google zwei Schwachstellen (CVE-2023-4211 "hoch", CVE-2023-4863 "hoch") auf, die Angreifer ausnutzen. Die erste Lücke betrifft verschiedene GPUs der Mali-Serie von ARM. Betroffene Komponenten kommen in Android-Geräten aus den Jahren 2013, 2016 und 2019 zum Einsatz. Was Angreifer nach erfolgreichen Attacken anstellen können, ist bislang unklar. Die wenigen Informationen deuten auf die Ausführung von Schadcode hin.

Die zweite ausgenutzte Schwachstelle betrifft die System-Komponente von Android 11, 12, 12L und 13. Konkret ist Googles Grafikformat WebP betroffen. Hier können Angreifer für Schadcode-Attacken ansetzen. Es ist davon auszugehen, dass für das Einleiten einer Attacke der Besuch einer Website mit einem präparierten Bild ausreicht. Die Schwachstelle sorgte jüngst für einigen Wirbel, weil sie wie zuerst von Google berichtet nicht nur den Webbrowser Chrome betrifft, sondern noch unzählige andere Anwendungen.

In beiden Fällen schreibt Google, dass die Lücken in begrenztem und gezieltem Umfang ausgenutzt werden. Was das konkret in Zahlen bedeutet, bleibt unklar.

Weitere Schwachstellen

Noch mehr gefährliche Lücken betreffen die Komponenten Framework und System und Drittanbieter-Komponenten von ARM, MediaTek, Qualcomm und Unisoc. Darunter ist eine "kritische" Schadcode-Lücke (CVE-2023-40129) im System. Besitzer von noch im Support befindlichen Android-Geräten sollten sicherstellen, dass das Patch Level 2023-10-01 oder 2023-10-05 installiert ist.

Neben Google stellen auch unter anderem LG und Samsung monatlich für ausgewählte Smartphones Sicherheitsupdates bereit (siehe Kasten). Samsung kümmert sich unter anderem um Schwachstellen in der GPU (CVE-2023-42482 "hoch", CVE-2023-41911 "hoch").

Quelle; heise

 

[yoshi2001]

Nutzt man ein altes Smartphone ist es mittlerweile so, als wenn man einen PC mit Windows 7 oder älter online nutzt!

 

[Garfield51]

Ich nutze Windows 7 noch auf 2 meiner Rechner, ohne jedes Problem.
Mit NoScript, First Party Isolation, Skip Redirect mit Firefox.
Absolut keine Probleme.