Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.

Ein IMHO von veröffentlicht am
Auch Google hat die Update-Problematik von Android nicht im Griff.
Auch Google hat die Update-Problematik von Android nicht im Griff. (Bild: Tobias Költzsch/Golem.de)

Anfang Oktober hat Googles Project Zero vor einer Sicherheitslücke in einigen Android-Geräten gewarnt, die laut der Mitteilung schon von Kunden der fragwürdigen NSO Group aktiv ausgenutzt wird. Google kennt die zugrunde liegende Lücke bereits seit eineinhalb Jahren und hat sie sogar schon behoben. Nur: In den eigenen Geräten und denen vieler Partner ist der wichtige Bugfix nie angekommen. Das ist kein peinliches Versehen, sondern ein Fehler mit Ankündigung.

Inhalt:
  1. Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
  2. Android braucht echte Kernel-Updates

Ein Fehler zudem mit einiger Tragweite. Immerhin verkauft die NSO Group Zero-Day-Exploits, und das Unternehmen steht für seine Produkte in der Kritik, da diese mit Menschenrechtsverletzungen in Verbindung gebracht werden. Google hat eben diesem Unternehmen nun eine Sicherheitslücke quasi auf dem Präsentierteller überreicht, indem es seine Geräte leichtsinnig verwundbar gelassen hat. Angesichts der Kunden der NSO Group ist es wahrscheinlich, dass das Verhalten von Google Menschen gefährdet hat.

Ironischerweise ist ausgerechnet Googles Project Zero darauf angelegt, Unternehmen wie der NSO Group die Geschäfte möglichst schwer zu machen. Das Team sucht mit teils ausgefallenen Methoden nach besonders kritischen Sicherheitslücken in der Software anderer Unternehmen, aber eben auch in eigenen Produkten. Das soll den Handel mit derartigen Exploits möglichst unattraktiv machen. Im vorliegenden Fall hat das aber eben nicht funktioniert und Google nimmt hier eher eine traurige Beobachterrolle ein. Das Unternehmen hat wider besseres Wissen erst reagiert, als es schon zu spät war. Denn die Lücke in seinen Geräten hat Google erst geschlossen, nachdem sie aktiv für Angriffe ausgenutzt worden war, obwohl das viel eher hätte passieren können.

Google hatte Fehler längst gefunden

Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Bug in einer Komponente des Linux-Kernels. Gefunden wurde die Lücke vollautomatisiert mithilfe des Werkzeugs Syzbot, einem Fuzzer für die Systemaufrufe des Linux-Kernels. Der Syzbot ist eines der vielen Werkzeuge, mit denen die Suche nach schwierig aufzufindenden Sicherheitslücken vorangetrieben werden soll - eben um die Sicherheit der Nutzer zu erhöhen und die Angriffsfläche zu verringern.

Stellenmarkt
  1. IT Application Manager - SAP SuccessFactors (m/w/x)
    ALDI SÜD Dienstleistungs-GmbH & Co. oHG, Mülheim
  2. Business Analyst (m/w/d)
    Sollers Consulting GmbH, Köln
Detailsuche

In dem beschriebenen Fall funktionierte das zunächst auch exakt so wie vorgesehen: Der Syzbot fand einen Fehler, ein Google-Entwickler erstellte einen Patch dafür und dieser wurde als Update in die noch gepflegten Langzeitkernel des Linux-Projektes eingepflegt. Google hat diesen Patch sogar noch in die sogenannten Common-Kernel von Android eingegeben. Darin pflegt Google einheitliche Linux-Versionen für seine Hardwarepartner. Nur auf den Smartphones ist der Patch nie angekommen, was wohl klar an Google liegen dürfte.

Zwar hat die Kernel-Community den Fehler wie so oft nicht als sicherheitskritisch markiert und auch keine CVE-Nummer angemeldet. Aus ihrer Sicht ist das aber auch nicht zwingend nötig, weil sie findet, dass alle Fehler im Kernel als sicherheitsrelevant betrachtet werden sollten und Nutzer dementsprechend immer die verfügbaren Updates einspielen sollten.

Viel schwerer als das Verhalten der Kernel-Community wiegt hier etwas anderes: Offenbar hat Google einfach vergessen, den bereits in den Code aufgenommenen Patch an seine eigenen Geräte weiterzureichen. Hätte das Unternehmen das gemacht, hätten vermutlich auch die anderen Hersteller den Patch bei einem Update übernommen, da sie sich an dem Verhalten von Google orientieren. Leider ist das Weiterreichen der Patches aber nicht so einfach - sondern eher chaotisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Android braucht echte Kernel-Updates 
  1. 1
  2. 2
  3.  


cpt.dirk 16. Okt 2019

Wir reden jetzt ja vom OS, nicht von den Treibern - die sind durch verschulden der...

quassel 14. Okt 2019

Naja, "wichtig" ist immer relativ. Wenn dem Durchschnittsmensch die IT wirklich wichtig...

zampata 12. Okt 2019

Hast du jemals für irgendeine der Plattformen entwickelt?

zampata 12. Okt 2019

Ähm nein. Der author verwurstet die verschiedenen Bereiche - was ist de Fehler - wie...

Agba 12. Okt 2019

Hey Leute. Ich lese diese Artikel zu Android Entwicklung bzw. Linux Kernel sehr gern...



Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. Etisalat UAE: Wir haben das beste Netzwerk der Welt
    Etisalat UAE
    "Wir haben das beste Netzwerk der Welt"

    Das Land, wo 98 Prozent der Haushalte FTTH haben, hat ein Programm für die verbliebenen 2 Prozent gestartet. Kunden wollen 1 GBit/s in jedem Raum.

  2. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

  3. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /