Google-März-Patch: Android Sicherheitslücke wird seit einem Jahr ausgenutzt

Seit fast einem Jahr lassen sich auf vielen Android-Smartphones mit Mediatek-Chip leicht Root-Rechte erlangen. Schad-Apps nutzen diese bereits aus, dennoch gibt es kaum Hersteller, die einen Patch ausliefern. Nun will Google ihn selbst verteilen.

Artikel veröffentlicht am ,
Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates.
Hersteller von Android-Smartphones lassen sich Zeit mit den Sicherheitsupdates. (Bild: Gerd Altmann/Pixabay)

Auf einigen Android-Smartphones, die einen Mediatek-Chip enthalten, können Apps einfach ihre Rechte ausweiten. Für die Sicherheitslücke gibt es bereits seit knapp einen Jahr einen Exploit, der bereits von Schad-Apps im Playstore verwendet wurde, um Root-Rechte zu erlangen. Mediatek hatte die Lücke bereits im Mai 2019 geschlossen, viele Anbieter haben das Update bis dato jedoch nicht ausgeliefert. Mit den Android-Sicherheitsupdates für März liefert Google den Patch aus. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. SAP Logistik-Berater (m/w/x)
    über duerenhoff GmbH, Raum Bielefeld
  2. IT Security Spezialist (m/w/d)
    BAHAG AG, Mannheim
Detailsuche

Vor knapp einem Jahr veröffentlichte ein Nutzer des XDA-Developers-Forum den Mediatek-su genannten Exploit. Mit dem Exploit konnten Amazon-Fire-Geräte gerootet werden, um Veränderungen an diesen vorzunehmen. Allerdings funktioniert der Exploit auch auf Android-Smartphones mit Mediatek-Chip. Mit diesem können beispielsweise Apps vorübergehend Root-Zugriff auf das System erlangen. Nach einem Reboot ist der Root-Zugriff zwar wieder weg, kann aber neu erlangt werden.

Die Sicherheitsfirma Trend Micro hatte bereits mehrere Apps entdeckt, die die Sicherheitslücke ausnutzten. Je nach betroffenem Gerät weiteten die Schad-Apps ihre Rechte über die Mediatek-Sicherheitslücke oder einen Use-after-free-Bug im Linux-Kernel aus. Besonders bedenklich: Google hatte den Use-after-free-Bug bereits eineinhalb Jahre zuvor und einen Patch erstellt - diesen jedoch nicht an die Geräte wie das Google Pixel 2 und 2 XL weitergereicht.

Die Mediatek-Sicherheitslücke wurde bereits im Mai 2019 geschlossen, die betroffenen Amazon-Fire-Geräte erhielten ein Update. Viele Hersteller von Android-Smartphones lieferten das Update jedoch nicht an ihre Kunden aus. Laut ZDnet bat Mediatek daher Google um Hilfe. Neun Monate nachdem das Update herauskam, wird es nun auch per Android-Update ausgeliefert. Ob die Smartphone-Hersteller den Patch nun ausliefern werden, wird sich zeigen. Im XDA-Developers-Forum gibt es eine Liste der betroffenen Geräte von Herstellern wie Huawei, Lenovo, Nokia/HMD Global, LG und Sony.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Megusta 05. Mär 2020

was soll der Markt auch regeln, wenn es ihm nichts bringt, außer Kosten

HeroFeat 04. Mär 2020

Nur das bei praktisch allen anderen Linux Versionen Updates regelmäßig erscheinen. Und...

M.P. 04. Mär 2020

Im Artikel steht

d0p3fish 04. Mär 2020

Genau die Einstellung der Hersteller :) Man stelle sich mal vor diese Eintellung würde...

TrollNo1 04. Mär 2020

Liegt ziemlich sicher am Preis. Welches teure Oberklasse Smartphone wird denn mit einem...



Aktuell auf der Startseite von Golem.de
Mobiles Betriebssystem
iOS 15 mit Focus, OCR und schickem Facetime

Apple hat iOS 15 für iPhones und den iPod Touch vorgestellt. Radikale Neuerungen sind nicht dabei, dafür aber einige interessante Funktionen.

Mobiles Betriebssystem: iOS 15 mit Focus, OCR und schickem Facetime
Artikel
  1. Windows 11: Geplante Obsoleszenz ist schlecht, Microsoft!
    Windows 11
    Geplante Obsoleszenz ist schlecht, Microsoft!

    Kunden ärgern sich darüber, dass ihre vier Jahre alten Prozessoren bereits kein Windows 11 mehr unterstützen. Zu Recht.
    Ein IMHO von Oliver Nickel

  2. Apple Watch: watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt
    Apple Watch
    watchOS 8 mit Achtsamkeits-Funktion und Porträt-Zifferblatt

    Apple hat für die Apple Watch mit watchOS 8 ein neues Betriebssystem vorgestellt, das neue Zugriffs-, Konnektivitäts- und Achtsamkeitsfunktionen auf die Smartwatch bringt.

  3. Diablo 2 Resurrected: Entwickler äußern sich zu Blizzard-Boykott
    Diablo 2 Resurrected
    Entwickler äußern sich zu Blizzard-Boykott

    Für viele Spieler wäre Diablo 2 Resurrected ein Pflichtkauf. Blizzard soll aber nicht unterstützt werden. Das sagen Entwickler zum Dilemma.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM-Prospekt (u. a. Asus Gaming-Notebook 17" RTX 3050 1.099€) • PCGH-PC mit Ryzen 5 3600 & RTX 3060 999€ • Samsung 970 Evo Plus 1TB 99€ • Saturn Hits 2021 (u. a. Philips 55" OLED 120Hz 1.849€) • Corsair RGB 16GB Kit 3600MHz 87,90€ • Dualsense Schwarz + Deathloop 99,99€ [Werbung]
    •  /