Abo
  • IT-Karriere:

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.

Ein IMHO von veröffentlicht am
Auch Google hat die Update-Problematik von Android nicht im Griff.
Auch Google hat die Update-Problematik von Android nicht im Griff. (Bild: Tobias Költzsch/Golem.de)

Anfang Oktober hat Googles Project Zero vor einer Sicherheitslücke in einigen Android-Geräten gewarnt, die laut der Mitteilung schon von Kunden der fragwürdigen NSO Group aktiv ausgenutzt wird. Google kennt die zugrunde liegende Lücke bereits seit eineinhalb Jahren und hat sie sogar schon behoben. Nur: In den eigenen Geräten und denen vieler Partner ist der wichtige Bugfix nie angekommen. Das ist kein peinliches Versehen, sondern ein Fehler mit Ankündigung.

Inhalt:
  1. Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
  2. Android braucht echte Kernel-Updates

Ein Fehler zudem mit einiger Tragweite. Immerhin verkauft die NSO Group Zero-Day-Exploits, und das Unternehmen steht für seine Produkte in der Kritik, da diese mit Menschenrechtsverletzungen in Verbindung gebracht werden. Google hat eben diesem Unternehmen nun eine Sicherheitslücke quasi auf dem Präsentierteller überreicht, indem es seine Geräte leichtsinnig verwundbar gelassen hat. Angesichts der Kunden der NSO Group ist es wahrscheinlich, dass das Verhalten von Google Menschen gefährdet hat.

Ironischerweise ist ausgerechnet Googles Project Zero darauf angelegt, Unternehmen wie der NSO Group die Geschäfte möglichst schwer zu machen. Das Team sucht mit teils ausgefallenen Methoden nach besonders kritischen Sicherheitslücken in der Software anderer Unternehmen, aber eben auch in eigenen Produkten. Das soll den Handel mit derartigen Exploits möglichst unattraktiv machen. Im vorliegenden Fall hat das aber eben nicht funktioniert und Google nimmt hier eher eine traurige Beobachterrolle ein. Das Unternehmen hat wider besseres Wissen erst reagiert, als es schon zu spät war. Denn die Lücke in seinen Geräten hat Google erst geschlossen, nachdem sie aktiv für Angriffe ausgenutzt worden war, obwohl das viel eher hätte passieren können.

Google hatte Fehler längst gefunden

Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Bug in einer Komponente des Linux-Kernels. Gefunden wurde die Lücke vollautomatisiert mithilfe des Werkzeugs Syzbot, einem Fuzzer für die Systemaufrufe des Linux-Kernels. Der Syzbot ist eines der vielen Werkzeuge, mit denen die Suche nach schwierig aufzufindenden Sicherheitslücken vorangetrieben werden soll - eben um die Sicherheit der Nutzer zu erhöhen und die Angriffsfläche zu verringern.

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Wirecard Technologies GmbH, Aschheim bei München

In dem beschriebenen Fall funktionierte das zunächst auch exakt so wie vorgesehen: Der Syzbot fand einen Fehler, ein Google-Entwickler erstellte einen Patch dafür und dieser wurde als Update in die noch gepflegten Langzeitkernel des Linux-Projektes eingepflegt. Google hat diesen Patch sogar noch in die sogenannten Common-Kernel von Android eingegeben. Darin pflegt Google einheitliche Linux-Versionen für seine Hardwarepartner. Nur auf den Smartphones ist der Patch nie angekommen, was wohl klar an Google liegen dürfte.

Zwar hat die Kernel-Community den Fehler wie so oft nicht als sicherheitskritisch markiert und auch keine CVE-Nummer angemeldet. Aus ihrer Sicht ist das aber auch nicht zwingend nötig, weil sie findet, dass alle Fehler im Kernel als sicherheitsrelevant betrachtet werden sollten und Nutzer dementsprechend immer die verfügbaren Updates einspielen sollten.

Viel schwerer als das Verhalten der Kernel-Community wiegt hier etwas anderes: Offenbar hat Google einfach vergessen, den bereits in den Code aufgenommenen Patch an seine eigenen Geräte weiterzureichen. Hätte das Unternehmen das gemacht, hätten vermutlich auch die anderen Hersteller den Patch bei einem Update übernommen, da sie sich an dem Verhalten von Google orientieren. Leider ist das Weiterreichen der Patches aber nicht so einfach - sondern eher chaotisch.

Android braucht echte Kernel-Updates 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

cpt.dirk 14:54 / Themenstart

Wir reden jetzt ja vom OS, nicht von den Treibern - die sind durch verschulden der...

quassel 14. Okt 2019 / Themenstart

Naja, "wichtig" ist immer relativ. Wenn dem Durchschnittsmensch die IT wirklich wichtig...

zampata 12. Okt 2019 / Themenstart

Hast du jemals für irgendeine der Plattformen entwickelt?

zampata 12. Okt 2019 / Themenstart

Ähm nein. Der author verwurstet die verschiedenen Bereiche - was ist de Fehler - wie...

Agba 12. Okt 2019 / Themenstart

Hey Leute. Ich lese diese Artikel zu Android Entwicklung bzw. Linux Kernel sehr gern...

Kommentieren


Folgen Sie uns
       


Gears of War 5 - Fazit

Spektakulär inszenierte Action ist die Spezialität von Gears of War, und natürlich setzt auch Gears 5 auf Bombast und krachende Effekte.

Gears of War 5 - Fazit Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

    •  /