Google-März-Patch: Android Sicherheitslücke wird seit einem Jahr ausgenutzt

Seit fast einem Jahr lassen sich auf vielen Android - Smartphones mit Mediatek-Chip leicht Root-Rechte erlangen. Schad- Apps nutzen diese bereits aus, dennoch gibt es kaum Hersteller, die einen Patch ausliefern. Nun will Google ihn selbst verteilen.

3. März 2020 um 16:58 Uhr / Moritz Tremmel

35 Kommentare News folgen (öffnet im neuen Fenster)

Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates. (Bild: Gerd Altmann/Pixabay) — Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates. Bild: Gerd Altmann/Pixabay

Auf einigen Android-Smartphones, die einen Mediatek-Chip enthalten, können Apps einfach ihre Rechte ausweiten. Für die Sicherheitslücke gibt es bereits seit knapp einen Jahr einen Exploit, der bereits von Schad-Apps im Playstore verwendet wurde, um Root-Rechte zu erlangen. Mediatek hatte die Lücke bereits im Mai 2019 geschlossen, viele Anbieter haben das Update bis dato jedoch nicht ausgeliefert. Mit den Android-Sicherheitsupdates für März(öffnet im neuen Fenster) liefert Google den Patch aus. Zuerst hatte das Onlinemagazin ZDnet berichtet(öffnet im neuen Fenster) .

Vor knapp einem Jahr veröffentlichte ein Nutzer des XDA-Developers-Forum den Mediatek-su genannten Exploit. Mit dem Exploit konnten Amazon-Fire-Geräte gerootet werden, um Veränderungen an diesen vorzunehmen. Allerdings funktioniert der Exploit auch auf Android-Smartphones mit Mediatek-Chip. Mit diesem können beispielsweise Apps vorübergehend Root-Zugriff auf das System erlangen. Nach einem Reboot ist der Root-Zugriff zwar wieder weg, kann aber neu erlangt werden.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Microsoft 365 Security Administrator Associate (E-Learning)

zum Kurs

Die Sicherheitsfirma Trend Micro hatte bereits mehrere Apps entdeckt , die die Sicherheitslücke ausnutzten. Je nach betroffenem Gerät weiteten die Schad-Apps ihre Rechte über die Mediatek-Sicherheitslücke oder einen Use-after-free-Bug im Linux-Kernel aus. Besonders bedenklich: Google hatte den Use-after-free-Bug bereits eineinhalb Jahre zuvor und einen Patch erstellt – diesen jedoch nicht an die Geräte wie das Google Pixel 2 und 2 XL weitergereicht .

Die Mediatek-Sicherheitslücke wurde bereits im Mai 2019 geschlossen, die betroffenen Amazon-Fire-Geräte erhielten ein Update. Viele Hersteller von Android-Smartphones lieferten das Update jedoch nicht an ihre Kunden aus. Laut ZDnet bat Mediatek daher Google um Hilfe. Neun Monate nachdem das Update herauskam, wird es nun auch per Android-Update ausgeliefert. Ob die Smartphone-Hersteller den Patch nun ausliefern werden, wird sich zeigen. Im XDA-Developers-Forum gibt es eine Liste der betroffenen Geräte(öffnet im neuen Fenster) von Herstellern wie Huawei, Lenovo, Nokia/HMD Global, LG und Sony.

Zur Startseite 35 Kommentare

Reklame Hier geht es zum Google Pixel 8 bei Amazon

Relevante Themen