Android: März-Update schließt kritische Sicherheitslücken

Das Sicherheitsupdate für Android 5.x Lollipop und 6.x Marshmallow aus dem Monat März kann ab sofort mithilfe der Factory Images auf Nexus-Geräten installiert werden. Die OTA-Updates folgen in Kürze. Wann andere Hersteller ihre Smartphones aktualisieren, bleibt abzuwarten.

Google hat das März-Sicherheitsupdate für Android fertiggestellt und bietet es ab sofort für seine Nexus-Geräte zum Downlaod an. Die neuen Factory Images finden sich wie üblich auf der Entwickler-Seite von Google. Mit der Aktualisierung schließt Google insgesamt 19 Sicherheitslücken, von denen sieben als kritisch eingestuft wurden. Dies geht aus einem Security Bulletin hervor.

(Foto: CNET.de)

Die Factory Images sind für Android 5.1 und Android 6.0 erhältlich. Die OTA-Updates folgen allerdings schon in den kommenden Tagen. Unter Einstellungen – Über das Telefon/Tablet können Nutzer überprüfen, ob sie das Update bereits erhalten haben. Dort sollte bei Android 5.x Lollipop mindestens das Build LMY49H und bei Android 6.x Marshmallow mindestens die Android-Sicherheitspatch-Ebene 1. März 2016 angezeigt werden.

Die kritischen Sicherheitslöcher erlauben es Angreifern, unter Umständen Schadcode einzuschleusen und mit Rechten auszuführen, die Apps von Drittanbietern normalerweise nicht bekommen. Dadurch ist demnach auch eine vollständige Kompromittierung eines Android-Smartphones oder -Tablets möglich, die sich nur durch das erneute Flashen des Betriebssystems lösen lässt.

Die kritischen Lücken stecken in den Komponenten Mediaserver, Conscrypt, Keyring sowie in der Bibliothek „libvpx“, in der Qualcomm Performance Component und dem Mediatek-WLAN-Treiber. Sie lassen sich beispielsweise durch speziell präparierte Mediendateien, die im Browser wiedergegeben werden, oder auch manipulierte MMS-Nachrichten ausnutzen.

Ein hohes Risiko geht von einem Kernel-Bug aus, der das Umgehen von Sicherheitsfunktionen erlaubt. Das gilt auch für einen Fehler in einem Kernel-Treiber für Mediatek-Prozessoren. Die Bibliothek „libstagefright“ kann ebenfalls benutzt werden, um Sicherheitsmaßnahmen zu umgehen. Weitere Fehler wurden in der Bluetooth-Funktion, im Mediaserver, der Telefonanwendung und im Einrichtungsassistenten entfernt.

Einige der Anfälligkeiten betreffen neben Android 5.x Lollipop und 6.0 Marshmallow auch die Android-Version 4.4.4 KitKat. Andere sind wiederum auf das neueste Release, sprich Android Marshmallow beschränkt. Entdeckt wurden sie überwiegend von Google-Mitarbeitern. Einige der von Dritten gemeldeten Schwachstellen sind dem Unternehmen allerdings schon seit Mitte November 2015 bekannt. Laut Google liegen allerdings keine Berichte, vor das diese Schwachstellen aktiv ausgenutzt wurden.

Unklar ist wie immer, wann auch andere Hersteller ihre Geräte aktualisieren werden. Neben Google haben sich auch LG und Samsung verpflichtet, einmal im Monat Sicherheitsupdates bereitzustellen. Samsung beschränkt sich dabei allerdings auf wenige Flaggschiff-Modelle. Zudem weist es darauf hin, dass es je nach Modell und Region zu Verzögerungen kommen kann. Für die neuen Flaggschiff-Modelle hat Samsung allerdings ein Enterprise Device Program gestartet, in dessen Rahmen es Unternehmen ab sofort eine zweijährige Warenverfügbarkeit sowie üblicherweise monatliche Sicherheitsupdates. Dieses Programm soll auch auf zukünftige Business-Smartphones ausgedehnt werden.

(Screenshot: CNET.de)

Mithilfe der Factory Images lässt sich das März-Update schon jetzt installieren (Screenshot: CNET.de).

Nexus-Besitzer, die nicht auf das reguläre Over-the-Air-Update warten und sich länger den Sicherheitslöchern aussetzen möchten, können das Update mithilfe der Betriebssystemabbilder manuell installieren. Für die Installation eines Factory Image müssen die Komponenten adb und fastboot aus dem Android-SDK installiert sowie der USB-Debug-Modus auf dem Gerät aktiviert werden. Für den Zugriff auf das Smartphone oder Tablet ist zudem die Installation des ADB-Treibers nötig.

Was genau zu tun ist, das können Android-Nutzer in dem Beitrag Android 4.4: So klappt die manuelle Installation auf einem Nexus 4, Nexus 7 und Nexus 10, der die Installation eines Factory Images mit Hilfe der Flash-all.bat auf einem Nexus 7 in der WiFi-Ausführung aus dem Jahr 2012 sowie einem Nexus 4 am Beispiel von Android 4.4 zeigt. Grundlegend ist die Vorgehensweise für das Installieren der Betriebssystemabbilder von Android 6.0.1 aber identisch. Wer die von Google veröffentlichten Images verwendet, erhält übrigens auch künftig OTA-Updates auf neue Versionen.

Die manuelle Installation von Android 6.0.1 Marshmallow dürfte aber nicht für alle Nexus-Besitzer eine ideale Lösung sein, denn dabei wird das Smartphone je nach Methode in den Werkszustand zurückversetzt. Dabei gehen alle vorhandenen Daten komplett verloren – zumindest wenn man den einfacheren Weg wählt und das Factory Image mit Hilfe des Install-Scripts Flash-all.bat installiert. Wer statt dem Script die nötigen Befehle abändert und einzeln ausführt sowie den Bootloader bereits geöffnet hat, der kann seine Daten auch behalten. Es kann allerdings auch nicht schaden, das System ab und an neu aufzusetzen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Android: März-Update schließt kritische Sicherheitslücken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *