Mit einer besonders unerfreulichen Sicherheitslücke sehen sich derzeit Android-Nutzer konfrontiert: Vor wenigen Tagen hat Googles eigenes Project Zero einen schweren Fehler in dem Betriebssystem offengelegt, der sich von den sonst im monatlichen Rhythmus veröffentlichten Bugfixes durch zwei Dinge unterscheidet: Die Lücke ist sehr einfach auszunutzen, und vor allem: Sie wird es auch bereits. Die Spionagefirma NSO Group setzt diese offenbar ein, um ihren Kunden die Übernahme von Android-Smartphones zu ermöglichen.

Pixel voran

Nun reagiert die Android-Abteilung von Google mit einem Update – allerdings vorerst nur für die eigenen Geräte. Mit dem Sicherheits-Update für Oktober wird der Fehler bei Pixel 1 und 2 ausgeräumt. Die neueren Pixel 3 und 3a waren ohnehin nie gefährdet. Über die Update-Funktion des Systems können die User die neue Version direkt herunterladen, so sie sie nicht schon automatisch angeboten bekommen haben.

Unklar bleibt die Lage hingegen weiterhin für die Nutzer anderer Android-Smartphones. Bei dem Bugfix handelt es sich nämlich um ein außertourliches Update, das Google für seine eigenen Geräte kurzfristig dazugepackt hat. Also hat ihn Google in seinem Android Security Bulletin in eine eigene Kategorie verpackt. Nur wer beim Sicherheits-Patch-Level den Wert 6. Oktober 2019 (oder ein neueres Datum) stehen hat, kann sich sicher sein, dass der Fehler auch wirklich bereinigt wurde.

Verwirrung

Allerdings patzt gerade bei diesem Punkt Google selbst. So weist die neue Version auf dem Pixel 3 und 3a weiter den 5. Oktober 2019 aus – also ein Datum, dass nahelegt, dass hier noch kein Fix aufgenommen wurde. Dies obwohl die beiden Geräte die betreffende Fehlerbereinigung schon lange inkludiert haben. Dazu kommt noch, dass aktuelle Geräte mit Linux Kernel 4.14 (oder neuer) ohnehin nie gefährdet waren. Für Nutzer, die wissen wollen, ob ihr Gerät nun geschützt ist oder nicht, ist die Situation also derzeit ziemlich undurchsichtig.

Generell sieht es aber ohnehin so aus, als würden die meisten Hersteller ein passendes Sicherheitsupdate frühestens im November liefern. So wird der betreffende Bug etwa in Samsungs eigenem Security Bulletin nicht angeführt. Das heißt, dass Geräte wie Galaxy S7, S8 und S9 auch mit dem Oktober-Update weiter für entsprechende Angriffe anfällig sind. Derzeit ist damit lediglich Googles Pixel-Reihe durchgängig gegen diese Attack geschützt.

Es gibt auch andere Probleme

Ansonsten liest sich das Oktober-Sicherheitsupdate für Android relativ unspektakulär: Wie schon in den Vormonaten bleibt der Trend, dass die wirklich kritischen Lücken vor allem in den proprietären Treibern von Firmen wie Qualcomm zu finden sind. Für die Open-Source-Teile von Android weist Google dieses Mal nur drei Lücken mit dem höchsten Gefährdungsgrad "kritisch" aus – allesamt im Media Framework des Betriebssystems. Was dabei aber auch auffällt: Unter Android 10 wird die Gefährdung durch zwei dieser Lücken nur als "moderat" angegeben, während eine gar nicht mehr vorkommt. Hier greifen also wohl strukturelle Verbesserungen in der neuesten Version des Betriebssystem

Google Play System Update

Zudem ist der Oktober auch jener Monat, in dem erstmals ein offizielles "Google Play System Update" ausgewiesen wird. Zur Erläuterung: Mit Android 10 übernimmt Google einen Teil der Systemaktualisierungen selbst – und zwar zentral für alle Android-Geräte. Das Google Play System Update für Oktober weist allerdings nur zwei Lücken in für Audio und Video genutzten Codecs aus. Zudem fällt der Start von Googles zentralem Update-System generell wenig überzeugend aus. Bisher ist die neue Version noch auf keinem der Pixel-Smartphones angekommen. Bei manchen davon wird gar ausgewiesen, dass die Play System Updates noch auf dem Stand von August sind, bei anderen ist hingegen von September die Rede. Generell erscheint es keine sonderlich gute Idee, dass es hier nun zwei unterschiedliche Versionsangaben gibt, die nicht einmal einem durchgängigen Format folgen. So müssen die Nutzer künftig zwei Einträge überprüfen, um sicherzugehen, dass ihr Gerät auf dem aktuellsten Stand ist. (Andreas Proschofsky, 8.10.2019)