In den vergangenen Wochen hatte die US-Bundesregierung allen Mitarbeitern die Nutzung von Pixel-Smartphones untersagt, während sie auf den Patch zur Schließung der Sicherheitslücke im Betriebssystem wartete. Doch nun stellt sich heraus, dass das Problem weitaus mehr Geräte mit installiertem Android betrifft
Der Codename lautet CVE-2024-32896 und könnte für Google zu ziemlichen Kopfschmerzen werden, da das Unternehmen in Wahrheit gehofft hatte, die Sicherheitslücke in seinem Android-Betriebssystem bereits mit dem neuesten Patch für in Mountain Views hergestellte Geräte namens Pixels geschlossen zu haben. Tatsächlich bezieht sich diese alphanumerische Zeichenfolge auf ein „Loch“ in Android, das zunächst nur auf Pixeln aufzutreten schien. Doch offenbar ist die Lage ernster als erwartet.
Der Fehler in Android betrifft nicht nur Google Pixel
Im Laufe der Stunden wurde das Bild immer düsterer und das Sicherheitsproblem eines der beliebtesten Betriebssysteme für Smartphones und Tablets, nämlich Android, breitete sich wie ein Lauffeuer auch auf Nicht-Pixel-Geräte aus. Also auch auf alle Geräte anderer Marken, auf denen Android installiert ist.
Das Anliegen der US-Regierung
Es ist nicht bekannt, wie schwerwiegend dieses Problem für die Sicherheit von Android ist, und es wurden offensichtlich keine Einzelheiten zu den möglichen Folgen angegeben, um den Bösewichten keine Hinweise zu geben. Wir wissen nur, dass es die Remote-Codeausführung erleichtern kann, ohne dass der Benutzer dies tun kann nichts tun.
Das Risiko sollte sicherlich nicht unterschätzt werden, wenn man bedenkt, dass die US-Bundesregierung, als man noch glaubte, dass das Problem auf die von Google entwickelten Geräte beschränkt sei, allen ihren Mitarbeitern die Verwendung von Pixel-Smartphones verboten hatte, während sie auf den Patch wartete, der geschlossen werden würde das Versagen.
Inzwischen ist das Pixel „gepatcht“, aber was ist mit den anderen Geräten?
Das Sicherheitsupdate ist mittlerweile vor drei Wochen eingetroffen, es gibt aber noch ein weiteres Problem: Es betrifft nur Pixel. Erst später wurde festgestellt, dass die Sicherheitslücke auch auf anderen Geräten besteht, die daher weiterhin Angriffen und der Arbeit böswilliger Akteure ausgesetzt sind.
Eine Situation, die die Sache nicht nur komplizierter macht, weil dadurch das Ausmaß des versteckten Defekts zunimmt, sondern auch, weil je nach Gerät ein Schneiderflicken erforderlich ist, um jeden freigelassenen Eingang endgültig zu schließen. Kurz gesagt, jeder Hersteller muss die Korrektur in seine Firmware implementieren, die daher nicht unabhängig von Google über den PlayStore vertrieben werden kann. Die gesamte zusätzliche Zeit wird den Bösen gegeben.
Dies ist eine Übersetzung eines Artikels, der am Fri, 05 Jul 2024 12:35:55 +0000 im italienischen Blog Start Magazine unter der URL https://www.startmag.it/innovazione/ops-google-ha-un-problemone-con-la-sicurezza-di-android/ veröffentlicht wurde.