• IT-Karriere:
  • Services:

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.

Ein IMHO von veröffentlicht am
Auch Google hat die Update-Problematik von Android nicht im Griff.
Auch Google hat die Update-Problematik von Android nicht im Griff. (Bild: Tobias Költzsch/Golem.de)

Anfang Oktober hat Googles Project Zero vor einer Sicherheitslücke in einigen Android-Geräten gewarnt, die laut der Mitteilung schon von Kunden der fragwürdigen NSO Group aktiv ausgenutzt wird. Google kennt die zugrunde liegende Lücke bereits seit eineinhalb Jahren und hat sie sogar schon behoben. Nur: In den eigenen Geräten und denen vieler Partner ist der wichtige Bugfix nie angekommen. Das ist kein peinliches Versehen, sondern ein Fehler mit Ankündigung.

Inhalt:
  1. Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
  2. Android braucht echte Kernel-Updates

Ein Fehler zudem mit einiger Tragweite. Immerhin verkauft die NSO Group Zero-Day-Exploits, und das Unternehmen steht für seine Produkte in der Kritik, da diese mit Menschenrechtsverletzungen in Verbindung gebracht werden. Google hat eben diesem Unternehmen nun eine Sicherheitslücke quasi auf dem Präsentierteller überreicht, indem es seine Geräte leichtsinnig verwundbar gelassen hat. Angesichts der Kunden der NSO Group ist es wahrscheinlich, dass das Verhalten von Google Menschen gefährdet hat.

Ironischerweise ist ausgerechnet Googles Project Zero darauf angelegt, Unternehmen wie der NSO Group die Geschäfte möglichst schwer zu machen. Das Team sucht mit teils ausgefallenen Methoden nach besonders kritischen Sicherheitslücken in der Software anderer Unternehmen, aber eben auch in eigenen Produkten. Das soll den Handel mit derartigen Exploits möglichst unattraktiv machen. Im vorliegenden Fall hat das aber eben nicht funktioniert und Google nimmt hier eher eine traurige Beobachterrolle ein. Das Unternehmen hat wider besseres Wissen erst reagiert, als es schon zu spät war. Denn die Lücke in seinen Geräten hat Google erst geschlossen, nachdem sie aktiv für Angriffe ausgenutzt worden war, obwohl das viel eher hätte passieren können.

Google hatte Fehler längst gefunden

Bei der Sicherheitslücke handelt es sich um einen sogenannten Use-After-Free-Bug in einer Komponente des Linux-Kernels. Gefunden wurde die Lücke vollautomatisiert mithilfe des Werkzeugs Syzbot, einem Fuzzer für die Systemaufrufe des Linux-Kernels. Der Syzbot ist eines der vielen Werkzeuge, mit denen die Suche nach schwierig aufzufindenden Sicherheitslücken vorangetrieben werden soll - eben um die Sicherheit der Nutzer zu erhöhen und die Angriffsfläche zu verringern.

Stellenmarkt
  1. ITEOS, verschiedene Einsatzgebiete
  2. ServiceXpert Gesellschaft für Service-Informationssysteme mbH, Hamburg

In dem beschriebenen Fall funktionierte das zunächst auch exakt so wie vorgesehen: Der Syzbot fand einen Fehler, ein Google-Entwickler erstellte einen Patch dafür und dieser wurde als Update in die noch gepflegten Langzeitkernel des Linux-Projektes eingepflegt. Google hat diesen Patch sogar noch in die sogenannten Common-Kernel von Android eingegeben. Darin pflegt Google einheitliche Linux-Versionen für seine Hardwarepartner. Nur auf den Smartphones ist der Patch nie angekommen, was wohl klar an Google liegen dürfte.

Zwar hat die Kernel-Community den Fehler wie so oft nicht als sicherheitskritisch markiert und auch keine CVE-Nummer angemeldet. Aus ihrer Sicht ist das aber auch nicht zwingend nötig, weil sie findet, dass alle Fehler im Kernel als sicherheitsrelevant betrachtet werden sollten und Nutzer dementsprechend immer die verfügbaren Updates einspielen sollten.

Viel schwerer als das Verhalten der Kernel-Community wiegt hier etwas anderes: Offenbar hat Google einfach vergessen, den bereits in den Code aufgenommenen Patch an seine eigenen Geräte weiterzureichen. Hätte das Unternehmen das gemacht, hätten vermutlich auch die anderen Hersteller den Patch bei einem Update übernommen, da sie sich an dem Verhalten von Google orientieren. Leider ist das Weiterreichen der Patches aber nicht so einfach - sondern eher chaotisch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Android braucht echte Kernel-Updates 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 1,07€
  2. (-8%) 45,99€
  3. 4,26€
  4. 4,99€

cpt.dirk 16. Okt 2019 / Themenstart

Wir reden jetzt ja vom OS, nicht von den Treibern - die sind durch verschulden der...

quassel 14. Okt 2019 / Themenstart

Naja, "wichtig" ist immer relativ. Wenn dem Durchschnittsmensch die IT wirklich wichtig...

zampata 12. Okt 2019 / Themenstart

Hast du jemals für irgendeine der Plattformen entwickelt?

zampata 12. Okt 2019 / Themenstart

Ähm nein. Der author verwurstet die verschiedenen Bereiche - was ist de Fehler - wie...

Agba 12. Okt 2019 / Themenstart

Hey Leute. Ich lese diese Artikel zu Android Entwicklung bzw. Linux Kernel sehr gern...

Kommentieren


Folgen Sie uns
       


55-Zoll-OLED-Monitor von Alienware - Test

Mit 120 Hz, 4K-Auflösung und 55-Zoll-Panel ist der AW5520qf ein riesiger Gaming-Monitor. Darauf macht es besonders Spaß, Monster in Borderlands 3 zu besiegen. Wäre da nicht die ziemlich niedrige Ausleuchtung.

55-Zoll-OLED-Monitor von Alienware - Test Video aufrufen
Social Engineering: Die Mitarbeiter sind unsere Verteidigung
Social Engineering
"Die Mitarbeiter sind unsere Verteidigung"

Prävention reicht nicht gegen Social Engineering und die derzeitigen Trainings sind nutzlos, sagt der Sophos-Sicherheitsexperte Chester Wisniewski. Seine Lösung: Mitarbeiter je nach Bedrohungslevel schulen - und so schneller sein als die Kriminellen.
Ein Interview von Moritz Tremmel

  1. Social Engineering Mit künstlicher Intelligenz 220.000 Euro erbeutet
  2. Social Engineering Die unterschätzte Gefahr

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

Starlink: SpaceX steht zwischen Flaute und Rekordjagd
Starlink
SpaceX steht zwischen Flaute und Rekordjagd

Die nächsten 60 Starlink-Satelliten stehen zum Start bereit, nachdem in diesem Jahr ungewöhnlich wenige Raketen gestartet sind - nicht nur von SpaceX. Die Flaute hat SpaceX selbst verursacht und einen Paradigmenwechsel in der Raumfahrt eingeläutet.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX testet Notfalltriebwerke des Crew Dragon
  2. Starship Mit viel Glück nur 6 Monate bis zum ersten Flug ins All
  3. SpaceX Das Starship nimmt Form an

    •  /