• IT-Karriere:
  • Services:

August-Sicherheitsupdate: Qualpwn ermöglicht Übernahme von Android per WLAN

Mit dem August-Sicherheitsupdate von Android patcht Google vergleichsweise wenige Fehler. Einig paar haben es allerdings in sich und betreffen insbesondere Qualcomm-basierte Hardware.

Artikel veröffentlicht am ,
Android-Antennen müssen besonders geschützt werden (Symbolbild).
Android-Antennen müssen besonders geschützt werden (Symbolbild). (Bild: Valerie Macon/AFP/Getty Images)

Google hat Informationen zum August-Update für Android freigegeben. Darin werden zunächst im Vergleich zum Vormonat weniger Fehler aufgelistet. Von der Hardware unabhängig wird nur eine kritische Sicherheitslücke im Betriebssystem aufgeführt, die eine Ausführung von Schadcode aus der Entfernung ermöglicht.

Stellenmarkt
  1. Hamamatsu Photonics Deutschland GmbH, Herrsching am Ammersee
  2. CITTI Handelsgesellschaft mbH & Co. KG, Kiel

Eine hardwareabhängige Sicherheitslücke gibt es in Android-Geräten mit Broadcom-Chips. So hat die Bluetooth-Komponente einen kritischen Fehler. Im Kontext eines privilegierten Prozesses lässt sich mit einer speziell angepassten Nachricht per Bluetooth Schadcode ausführen. Hier fehlt es an Details, so dass nur pauschal zum Patchen geraten werden kann.

Potenziell sehr viel gefährlicher sind Fehler, die Nutzer betreffen, die ein Android-Gerät mit Qualcomm-WLAN-Hardware verwenden. Qualcomm hat zu Sicherheitslücken in der WLAN-Firmware auch ein eigenes Security Bulletin herausgegeben. Weitere Details werden erst für die nächsten Tagen erwartet. Die Entdecker vom Tencent Blade Team wollen die Qualpwn genannte Lückensammlung in den nächsten Tagen auf der Sicherheitskonferenz Blackhat vorstellen.

Untersuchung seit Februar

Entdeckt wurden die ersten Probleme im Februar 2019. Google und Qualcomm wurden rechtzeitig informiert und bestätigen die Dringlichkeit. Nach derzeitigem Stand ist es möglich, über ein WLAN den WLAN-Chip von Qualcomm-basierten Android-Geräten anzugreifen und den Kernel des Systems zu übernehmen. Dazu werden mehrere Lücken in Kombination verwendet.

Im Moment gibt es aber den Entdeckern zufolge noch niemanden, der dies ausnutzt. Dank zeitnaher Berichterstattung an den Hersteller hatte dieser auch genug Zeit zur Entwicklung einer Gegenmaßnahme. Die Anwender haben also etwas Zeit, das August-Sicherheitsupdate zu installieren. Wer Qualcomm-Hardware hat, sollte auf den Patchlevel 2019-08-05 aktualisieren. Sonst dürfte 2019-08-01 in den meisten Fällen ausreichend sein.

Problematisch ist die Einschätzung der Tragweite der Sicherheitslücke. Laut den Entdeckern wurden nur Geräte mit Qualcomms 835er- und 845er-Chips getestet. Unklar ist bisher, ob noch weitere Qualcomm-Chip-Ausstattungen von Android-Geräten betroffen sind. Zudem werden viele Geräte mit den Chips herstellerseitig nicht gepflegt. Anwender sollten im Zweifelsfall beim Hersteller nachfragen, ob die kritischen Lücken noch beseitigt werden. Für höherwertige Modelle mit aktuellem Android-Betriebssystem ist aber spätestens für die nächsten Wochen mit einer Aktualisierung zu rechnen.

Google gibt die Veröffentlichung für die Pixel-Geräte im August wie üblich bereits an. Partner wie Huawei, LG und Samsung listen bereits August-Update-Informationen im Detail. Nokia ist etwas langsamer und noch damit beschäftigt, die Juli-Updates zu verteilen. Im deutschen Motorola-Blog ist der Infostand wie im vergangenen Monat auch noch auf den Monat Juni datiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Roccat Kain 122 Aimo für 53,99€, Roccat Kain 200 Aimo für 74,99€)
  2. (reduzierte Überstände, Restposten & Co.)

pk_erchner 06. Aug 2019

Umfasst keine Hardware Treiber?

nille02 06. Aug 2019

Das ist doch schon schnell. Mein Z2 Force von Motorola/Lenovo hat noch immer nur 1.2.19...


Folgen Sie uns
       


Golem.de baut die ISS aus Lego zusammen

Mit 864 Einzelteilen und rund 90 Minuten Bauzeit ist die Lego-ISS bei Weitem nicht so komplex wie ihr Vorbild.

Golem.de baut die ISS aus Lego zusammen Video aufrufen
Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

    •  /