Google-März-Patch: Android Sicherheitslücke wird seit einem Jahr ausgenutzt

Seit fast einem Jahr lassen sich auf vielen Android-Smartphones mit Mediatek-Chip leicht Root-Rechte erlangen. Schad-Apps nutzen diese bereits aus, dennoch gibt es kaum Hersteller, die einen Patch ausliefern. Nun will Google ihn selbst verteilen.

Artikel veröffentlicht am ,
Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates.
Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates. (Bild: Gerd Altmann/Pixabay)

Auf einigen Android-Smartphones, die einen Mediatek-Chip enthalten, können Apps einfach ihre Rechte ausweiten. Für die Sicherheitslücke gibt es bereits seit knapp einen Jahr einen Exploit, der bereits von Schad-Apps im Playstore verwendet wurde, um Root-Rechte zu erlangen. Mediatek hatte die Lücke bereits im Mai 2019 geschlossen, viele Anbieter haben das Update bis dato jedoch nicht ausgeliefert. Mit den Android-Sicherheitsupdates für März liefert Google den Patch aus. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Information Security Manager ADC Locations (m/w / diverse)
    Continental AG, Lindau
  2. Inhouse IT Consultant (w/m/d) SAP SuccessFactors Recruiting
    dmTECH GmbH, Karlsruhe
Detailsuche

Vor knapp einem Jahr veröffentlichte ein Nutzer des XDA-Developers-Forum den Mediatek-su genannten Exploit. Mit dem Exploit konnten Amazon-Fire-Geräte gerootet werden, um Veränderungen an diesen vorzunehmen. Allerdings funktioniert der Exploit auch auf Android-Smartphones mit Mediatek-Chip. Mit diesem können beispielsweise Apps vorübergehend Root-Zugriff auf das System erlangen. Nach einem Reboot ist der Root-Zugriff zwar wieder weg, kann aber neu erlangt werden.

Die Sicherheitsfirma Trend Micro hatte bereits mehrere Apps entdeckt, die die Sicherheitslücke ausnutzten. Je nach betroffenem Gerät weiteten die Schad-Apps ihre Rechte über die Mediatek-Sicherheitslücke oder einen Use-after-free-Bug im Linux-Kernel aus. Besonders bedenklich: Google hatte den Use-after-free-Bug bereits eineinhalb Jahre zuvor und einen Patch erstellt - diesen jedoch nicht an die Geräte wie das Google Pixel 2 und 2 XL weitergereicht.

Die Mediatek-Sicherheitslücke wurde bereits im Mai 2019 geschlossen, die betroffenen Amazon-Fire-Geräte erhielten ein Update. Viele Hersteller von Android-Smartphones lieferten das Update jedoch nicht an ihre Kunden aus. Laut ZDnet bat Mediatek daher Google um Hilfe. Neun Monate nachdem das Update herauskam, wird es nun auch per Android-Update ausgeliefert. Ob die Smartphone-Hersteller den Patch nun ausliefern werden, wird sich zeigen. Im XDA-Developers-Forum gibt es eine Liste der betroffenen Geräte von Herstellern wie Huawei, Lenovo, Nokia/HMD Global, LG und Sony.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Megusta 05. Mär 2020

was soll der Markt auch regeln, wenn es ihm nichts bringt, außer Kosten

HeroFeat 04. Mär 2020

Nur das bei praktisch allen anderen Linux Versionen Updates regelmäßig erscheinen. Und...

M.P. 04. Mär 2020

Im Artikel steht

d0p3fish 04. Mär 2020

Genau die Einstellung der Hersteller :) Man stelle sich mal vor diese Eintellung würde...



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /