Google: Android-Lücke kann Geräte "dauerhaft" lahmlegen

Google schließt mit dem November-Update für Android mehrere kritische Sicherheitslücken. Geräte können lahmgelegt oder auch übernommen werden.

Artikel veröffentlicht am ,
Die November-Updates für Android werden verteilt.
Die November-Updates für Android werden verteilt. (Bild: Tobias Költzsch/Golem.de)

Android-Hersteller Google hat die November-Updates für sein mobiles Betriebssystem veröffentlicht. Das Unternehmen schließt damit wie üblich Sicherheitslücken, von denen Google einige als kritisch bewertet und die im Falle eines erfolgreichen Angriffes unangenehme Folgen haben könnten. So warnt Google etwa vor einem "dauerhaften Denial-of-Service" (CVE-2020-0441 , CVE-2020-0442)

Stellenmarkt
  1. Betriebswirtin / (Wirtschafts-)Informatikerin / Wirtschaftsingenieurin als SAP-Architektin ... (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. Clinical Trial Associate (f/m/d)
    ITM Isotope Technologies Munich SE, Garching
Detailsuche

Zur Ausnutzung dieser Sicherheitslücke reicht es laut Google aus, eine speziell erstellte Nachricht von Angreifern zugeschickt zu bekommen. Die Lücke befindet sich im Android-Framework und damit dem wohl wichtigsten Teil des Mobilsystems. Darüber hinaus bietet Google Updates für alle noch unterstützten Android-Versionen, also 8.0, 8.1, 9, 10 und 11, weshalb davon auszugehen ist, das sehr viele Android-Geräte potenziell angreifbar sind.

Konkrete Details zu der Sicherheitslücke stehen jedoch wie üblich noch nicht bereit, da Google diese üblicherweise erst später nachliefert. Was genau Google also mit "dauerhaft" meint, ist derzeit noch unklar. So könnte es sein, dass die Geräte schlicht überhaupt nicht mehr genutzt werden können oder aber einfach abstürzen und möglicherweise durch einen Neustart wieder zum Laufen gebracht werden könnten.

Zusätzlich zu dem Denial-of-Service listet das Unternehmen eine Lücke im Media-Framework (CVE-2020-0451) als kritisch, mit deren Hilfe Code ausgeführt werden kann (RCE), wenn eine speziell präparierte Mediendatei geöffnet wird. Mit Hilfe einer speziell präparierten "Übertragung" aus der Nähe der Geräte (CVE-2020-0449) kann ebenfalls Code mit Systemberechtigungen ausgeführt werden. Die Erklärung zu Letzterem lässt auf eine Lücke in Bezug auf Funktechnik wie WLAN oder Bluetooth schließen.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-25. März 2022, online
  2. Masterclass: Data Science mit Pandas & Python
    22.-23. November 2021, online
  3. C++ 20: Concepts - Ranges - Coroutinen - Module
    14.-18. Februar 2022, online
Weitere IT-Trainings

Über Googles Pixel-Serie hinaus werden die Updates für die Sicherheitslücken auch an andere Android-Geräte von ihren Herstellern verteilt oder dies wird vorbereitet. Die Lücke im Media-Framework kann Google auf modernen Geräten dank des Project Mainline über den Play Store sogar selbst auf Geräten anderer Hersteller beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Akhelos 06. Nov 2020

Wer das den Leuten eingeimpft hat? Die reale Welt in der Unternehmen immer und immer und...

Captain 05. Nov 2020

Punkt 1: Das Problem liegt bei den Herstellern der Handys, also die gefälligst was...

HeroFeat 05. Nov 2020

Also ich habe vorhin ein Google Play-Systemupdate mit dem Datum 01.11.2020 auf mein...

dantist 04. Nov 2020

Woran erkenne ich, ob mein Gerät diesen Updatepfad unterstützt? Gilt das für alle Geräte...



Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Onlineshopping: Hermes erwartet mehr Paketsendungen bis Weihnachten
    Onlineshopping
    Hermes erwartet mehr Paketsendungen bis Weihnachten

    Der Logistikdienstleister Hermes geht von einer Steigerung zum Vorjahr aus. Durch den Onlineshopping-Boom braucht der Konzern mehr Zusteller und Fahrzeuge.

  2. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  3. Nintendo Switch: Deutscher Jugendschutz sperrt Dying Light in Australien
    Nintendo Switch
    Deutscher Jugendschutz sperrt Dying Light in Australien

    Das frisch für die Switch veröffentlichte Dying Light ist in Europa und in Australien nicht erhältlich - wegen des deutschen Jugendschutzes.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /