• IT-Karriere:
  • Services:

August-Sicherheitsupdate: Qualpwn ermöglicht Übernahme von Android per WLAN

Mit dem August-Sicherheitsupdate von Android patcht Google vergleichsweise wenige Fehler. Einig paar haben es allerdings in sich und betreffen insbesondere Qualcomm-basierte Hardware.

Artikel veröffentlicht am ,
Android-Antennen müssen besonders geschützt werden (Symbolbild).
Android-Antennen müssen besonders geschützt werden (Symbolbild). (Bild: Valerie Macon/AFP/Getty Images)

Google hat Informationen zum August-Update für Android freigegeben. Darin werden zunächst im Vergleich zum Vormonat weniger Fehler aufgelistet. Von der Hardware unabhängig wird nur eine kritische Sicherheitslücke im Betriebssystem aufgeführt, die eine Ausführung von Schadcode aus der Entfernung ermöglicht.

Stellenmarkt
  1. AIR LIQUIDE Deutschland GmbH, Düsseldorf
  2. über duerenhoff GmbH, Berlin

Eine hardwareabhängige Sicherheitslücke gibt es in Android-Geräten mit Broadcom-Chips. So hat die Bluetooth-Komponente einen kritischen Fehler. Im Kontext eines privilegierten Prozesses lässt sich mit einer speziell angepassten Nachricht per Bluetooth Schadcode ausführen. Hier fehlt es an Details, so dass nur pauschal zum Patchen geraten werden kann.

Potenziell sehr viel gefährlicher sind Fehler, die Nutzer betreffen, die ein Android-Gerät mit Qualcomm-WLAN-Hardware verwenden. Qualcomm hat zu Sicherheitslücken in der WLAN-Firmware auch ein eigenes Security Bulletin herausgegeben. Weitere Details werden erst für die nächsten Tagen erwartet. Die Entdecker vom Tencent Blade Team wollen die Qualpwn genannte Lückensammlung in den nächsten Tagen auf der Sicherheitskonferenz Blackhat vorstellen.

Untersuchung seit Februar

Entdeckt wurden die ersten Probleme im Februar 2019. Google und Qualcomm wurden rechtzeitig informiert und bestätigen die Dringlichkeit. Nach derzeitigem Stand ist es möglich, über ein WLAN den WLAN-Chip von Qualcomm-basierten Android-Geräten anzugreifen und den Kernel des Systems zu übernehmen. Dazu werden mehrere Lücken in Kombination verwendet.

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Im Moment gibt es aber den Entdeckern zufolge noch niemanden, der dies ausnutzt. Dank zeitnaher Berichterstattung an den Hersteller hatte dieser auch genug Zeit zur Entwicklung einer Gegenmaßnahme. Die Anwender haben also etwas Zeit, das August-Sicherheitsupdate zu installieren. Wer Qualcomm-Hardware hat, sollte auf den Patchlevel 2019-08-05 aktualisieren. Sonst dürfte 2019-08-01 in den meisten Fällen ausreichend sein.

Problematisch ist die Einschätzung der Tragweite der Sicherheitslücke. Laut den Entdeckern wurden nur Geräte mit Qualcomms 835er- und 845er-Chips getestet. Unklar ist bisher, ob noch weitere Qualcomm-Chip-Ausstattungen von Android-Geräten betroffen sind. Zudem werden viele Geräte mit den Chips herstellerseitig nicht gepflegt. Anwender sollten im Zweifelsfall beim Hersteller nachfragen, ob die kritischen Lücken noch beseitigt werden. Für höherwertige Modelle mit aktuellem Android-Betriebssystem ist aber spätestens für die nächsten Wochen mit einer Aktualisierung zu rechnen.

Google gibt die Veröffentlichung für die Pixel-Geräte im August wie üblich bereits an. Partner wie Huawei, LG und Samsung listen bereits August-Update-Informationen im Detail. Nokia ist etwas langsamer und noch damit beschäftigt, die Juli-Updates zu verteilen. Im deutschen Motorola-Blog ist der Infostand wie im vergangenen Monat auch noch auf den Monat Juni datiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 6,99€
  2. 58,99€
  3. 18,99€
  4. (u. a. Elite Dangerous für 5,99€, Planet Zoo für 19,99€, Struggling für 5,99€, LostWinds...

pk_erchner 06. Aug 2019

Umfasst keine Hardware Treiber?

nille02 06. Aug 2019

Das ist doch schon schnell. Mein Z2 Force von Motorola/Lenovo hat noch immer nur 1.2.19...


Folgen Sie uns
       


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /