• IT-Karriere:
  • Services:

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.

Ein IMHO von veröffentlicht am
Auch Google hat die Update-Problematik von Android nicht im Griff.
Auch Google hat die Update-Problematik von Android nicht im Griff. (Bild: Tobias Költzsch/Golem.de)

Anfang Oktober hat Googles Project Zero vor einer Sicherheitslücke in einigen Android-Geräten gewarnt, die laut der Mitteilung schon von Kunden der fragwürdigen NSO Group aktiv ausgenutzt wird. Google kennt die zugrunde liegende Lücke bereits seit eineinhalb Jahren und hat sie sogar schon behoben. Nur: In den eigenen Geräten und denen vieler Partner ist der wichtige Bugfix nie angekommen. Das ist kein peinliches Versehen, sondern ein Fehler mit Ankündigung.

Inhalt:
  1. Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
  2. Android braucht echte Kernel-Updates

Ein Fehler zudem mit einiger Tragweite. Immerhin verkauft die NSO Group Zero-Day-Exploits, und das Unternehmen steht für seine Produkte in der Kritik, da diese mit Menschenrechtsverletzungen in Verbindung gebracht werden. Google hat eben diesem Unternehmen nun eine Sicherheitslücke quasi auf dem Präsentierteller überreicht, indem es seine Geräte leichtsinnig verwundbar gelassen hat. Angesichts der Kunden der NSO Group ist es wahrscheinlich, dass das Verhalten von Google Menschen gefährdet hat.

Ironischerweise ist ausgerechnet Googles Project Zero darauf angelegt, Unternehmen wie der NSO Group die Geschäfte möglichst schwer zu machen. Das Team sucht mit teils ausgefallenen Methoden nach besonders kritischen Sicherheitslücken in der Software anderer Unternehmen, aber eben auch in eigenen Produkten. Das soll den Handel mit derartigen Exploits möglichst unattraktiv machen. Im vorliegenden Fall hat das aber eben nicht funktioniert und Google nimmt hier eher eine traurige Beobachterrolle ein. Das Unternehmen hat wider besseres Wissen erst reagiert, als es schon zu spät war. Denn die Lücke in seinen Geräten hat Google erst geschlossen, nachdem sie aktiv für Angriffe ausgenutzt worden war, obwohl das viel eher hätte passieren können.

Google hatte Fehler längst gefunden

Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Bug in einer Komponente des Linux-Kernels. Gefunden wurde die Lücke vollautomatisiert mithilfe des Werkzeugs Syzbot, einem Fuzzer für die Systemaufrufe des Linux-Kernels. Der Syzbot ist eines der vielen Werkzeuge, mit denen die Suche nach schwierig aufzufindenden Sicherheitslücken vorangetrieben werden soll - eben um die Sicherheit der Nutzer zu erhöhen und die Angriffsfläche zu verringern.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Einsatzgebiet Großraum Ulm/Augsburg
  2. Phone Research Field GmbH, Hamburg

In dem beschriebenen Fall funktionierte das zunächst auch exakt so wie vorgesehen: Der Syzbot fand einen Fehler, ein Google-Entwickler erstellte einen Patch dafür und dieser wurde als Update in die noch gepflegten Langzeitkernel des Linux-Projektes eingepflegt. Google hat diesen Patch sogar noch in die sogenannten Common-Kernel von Android eingegeben. Darin pflegt Google einheitliche Linux-Versionen für seine Hardwarepartner. Nur auf den Smartphones ist der Patch nie angekommen, was wohl klar an Google liegen dürfte.

Zwar hat die Kernel-Community den Fehler wie so oft nicht als sicherheitskritisch markiert und auch keine CVE-Nummer angemeldet. Aus ihrer Sicht ist das aber auch nicht zwingend nötig, weil sie findet, dass alle Fehler im Kernel als sicherheitsrelevant betrachtet werden sollten und Nutzer dementsprechend immer die verfügbaren Updates einspielen sollten.

Viel schwerer als das Verhalten der Kernel-Community wiegt hier etwas anderes: Offenbar hat Google einfach vergessen, den bereits in den Code aufgenommenen Patch an seine eigenen Geräte weiterzureichen. Hätte das Unternehmen das gemacht, hätten vermutlich auch die anderen Hersteller den Patch bei einem Update übernommen, da sie sich an dem Verhalten von Google orientieren. Leider ist das Weiterreichen der Patches aber nicht so einfach - sondern eher chaotisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Android braucht echte Kernel-Updates 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 59,99€
  2. (-72%) 16,99€
  3. (-79%) 12,50€
  4. 4,99€

cpt.dirk 16. Okt 2019

Wir reden jetzt ja vom OS, nicht von den Treibern - die sind durch verschulden der...

quassel 14. Okt 2019

Naja, "wichtig" ist immer relativ. Wenn dem Durchschnittsmensch die IT wirklich wichtig...

zampata 12. Okt 2019

Hast du jemals für irgendeine der Plattformen entwickelt?

zampata 12. Okt 2019

Ähm nein. Der author verwurstet die verschiedenen Bereiche - was ist de Fehler - wie...

Agba 12. Okt 2019

Hey Leute. Ich lese diese Artikel zu Android Entwicklung bzw. Linux Kernel sehr gern...


Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

Energie: Dieses Blatt soll es wenden
Energie
Dieses Blatt soll es wenden

Schon lange versuchen Forscher, die Funktionsweise von Blättern nachzuahmen. Nun soll es endlich gelingen - und um Längen effizienter sein als andere Verfahren zur Gewinnung von Wasserstoff.
Ein Bericht von Werner Pluta

  1. Energiewende Grüner Wasserstoff aus der Zinnschmelze
  2. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  3. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

    •  /