• IT-Karriere:
  • Services:

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.

Ein IMHO von veröffentlicht am
Auch Google hat die Update-Problematik von Android nicht im Griff.
Auch Google hat die Update-Problematik von Android nicht im Griff. (Bild: Tobias Költzsch/Golem.de)

Anfang Oktober hat Googles Project Zero vor einer Sicherheitslücke in einigen Android-Geräten gewarnt, die laut der Mitteilung schon von Kunden der fragwürdigen NSO Group aktiv ausgenutzt wird. Google kennt die zugrunde liegende Lücke bereits seit eineinhalb Jahren und hat sie sogar schon behoben. Nur: In den eigenen Geräten und denen vieler Partner ist der wichtige Bugfix nie angekommen. Das ist kein peinliches Versehen, sondern ein Fehler mit Ankündigung.

Inhalt:
  1. Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
  2. Android braucht echte Kernel-Updates

Ein Fehler zudem mit einiger Tragweite. Immerhin verkauft die NSO Group Zero-Day-Exploits, und das Unternehmen steht für seine Produkte in der Kritik, da diese mit Menschenrechtsverletzungen in Verbindung gebracht werden. Google hat eben diesem Unternehmen nun eine Sicherheitslücke quasi auf dem Präsentierteller überreicht, indem es seine Geräte leichtsinnig verwundbar gelassen hat. Angesichts der Kunden der NSO Group ist es wahrscheinlich, dass das Verhalten von Google Menschen gefährdet hat.

Ironischerweise ist ausgerechnet Googles Project Zero darauf angelegt, Unternehmen wie der NSO Group die Geschäfte möglichst schwer zu machen. Das Team sucht mit teils ausgefallenen Methoden nach besonders kritischen Sicherheitslücken in der Software anderer Unternehmen, aber eben auch in eigenen Produkten. Das soll den Handel mit derartigen Exploits möglichst unattraktiv machen. Im vorliegenden Fall hat das aber eben nicht funktioniert und Google nimmt hier eher eine traurige Beobachterrolle ein. Das Unternehmen hat wider besseres Wissen erst reagiert, als es schon zu spät war. Denn die Lücke in seinen Geräten hat Google erst geschlossen, nachdem sie aktiv für Angriffe ausgenutzt worden war, obwohl das viel eher hätte passieren können.

Google hatte Fehler längst gefunden

Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Bug in einer Komponente des Linux-Kernels. Gefunden wurde die Lücke vollautomatisiert mithilfe des Werkzeugs Syzbot, einem Fuzzer für die Systemaufrufe des Linux-Kernels. Der Syzbot ist eines der vielen Werkzeuge, mit denen die Suche nach schwierig aufzufindenden Sicherheitslücken vorangetrieben werden soll - eben um die Sicherheit der Nutzer zu erhöhen und die Angriffsfläche zu verringern.

Stellenmarkt
  1. reputatio systems GmbH & Co. KG, Pforzheim
  2. Method Park Holding AG, verschiedene Standorte in Deutschland und China

In dem beschriebenen Fall funktionierte das zunächst auch exakt so wie vorgesehen: Der Syzbot fand einen Fehler, ein Google-Entwickler erstellte einen Patch dafür und dieser wurde als Update in die noch gepflegten Langzeitkernel des Linux-Projektes eingepflegt. Google hat diesen Patch sogar noch in die sogenannten Common-Kernel von Android eingegeben. Darin pflegt Google einheitliche Linux-Versionen für seine Hardwarepartner. Nur auf den Smartphones ist der Patch nie angekommen, was wohl klar an Google liegen dürfte.

Zwar hat die Kernel-Community den Fehler wie so oft nicht als sicherheitskritisch markiert und auch keine CVE-Nummer angemeldet. Aus ihrer Sicht ist das aber auch nicht zwingend nötig, weil sie findet, dass alle Fehler im Kernel als sicherheitsrelevant betrachtet werden sollten und Nutzer dementsprechend immer die verfügbaren Updates einspielen sollten.

Viel schwerer als das Verhalten der Kernel-Community wiegt hier etwas anderes: Offenbar hat Google einfach vergessen, den bereits in den Code aufgenommenen Patch an seine eigenen Geräte weiterzureichen. Hätte das Unternehmen das gemacht, hätten vermutlich auch die anderen Hersteller den Patch bei einem Update übernommen, da sie sich an dem Verhalten von Google orientieren. Leider ist das Weiterreichen der Patches aber nicht so einfach - sondern eher chaotisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Android braucht echte Kernel-Updates 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 12,39€
  2. 79,99€ (Release 10. Juni)

cpt.dirk 16. Okt 2019

Wir reden jetzt ja vom OS, nicht von den Treibern - die sind durch verschulden der...

quassel 14. Okt 2019

Naja, "wichtig" ist immer relativ. Wenn dem Durchschnittsmensch die IT wirklich wichtig...

zampata 12. Okt 2019

Hast du jemals für irgendeine der Plattformen entwickelt?

zampata 12. Okt 2019

Ähm nein. Der author verwurstet die verschiedenen Bereiche - was ist de Fehler - wie...

Agba 12. Okt 2019

Hey Leute. Ich lese diese Artikel zu Android Entwicklung bzw. Linux Kernel sehr gern...


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

Open-Source-Mediaplayer: Die Deutschen werden VLC wohl zerstören
Open-Source-Mediaplayer
"Die Deutschen werden VLC wohl zerstören"

Der VideoLAN-Gründer Jean-Baptiste Kempf spricht im Golem.de Interview über Softwarepatente und die Idee, einen Verkehrskegel als Symbol zu verwenden.
Ein Interview von Martin Wolf

  1. 20 Jahre VLC Die beste freie Software begleitet mich seit meiner Kindheit

Razer Huntsman V2 Analog im Test: Die Gamepad-Tastatur
Razer Huntsman V2 Analog im Test
Die Gamepad-Tastatur

Spielen mit Gamepad oder Keyboard - warum eigentlich nicht mit beidem? Mit Razers neuer Tastatur legen wir Analogsticks auf WSAD.
Ein Test von Oliver Nickel

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

    •  /