Jeden ersten Montag im Monat veröffentlicht Google ein neues Sicherheits-Update für Android. Zahl und Schwere der Lücken hat dabei über die Jahre merklich abgenommen, was nicht zuletzt mit strukturellen Sicherheitsverbesserungen in neueren Versionen des Betriebssystems zu tun hat. Gerade angesichts dieser erfreulichen Entwicklung fällt das aktuellste Android Security Bulletin etwas irritierend aus.

Broadcom patzt

Mit dem Juli-Update bereinigt Google zwei kritische Fehler in der proprietären WLAN-Firmware von Broadcom. Über diese hätten Angreifen theoretisch von außen Schadcode auf ein Smartphone einbringen und zur Ausführung bringen können, etwa wenn sie sich im selben WLAN befinden.

An sich schon ein unerfreulicher Bug, aber auch etwas, das immer wieder einmal vorkommt. Was aber in diesem Fall verblüfft: Die betreffenden Lücken wurden nicht nur bereits vor mehr als einem Jahr gemeldet, sie sind auch schon seit Mitte April 2019 öffentlich. Damals konzentrierte sich das öffentliche Interesse aber vor allem auf Router und Desktop-Systeme. Angesichts des Umstands, dass diese Chips sehr ähnlich sind, verblüfft es trotzdem, dass hier offenbar niemand auf die Idee gekommen ist, nachzusehen, ob auch Android-Smartphones davon betroffen sind.

Allerdings gibt es auch eine alternative Möglichkeit. Nämlich, dass Broadcom den Bug ohnehin schon länger auch in seinen Treibern für Android-Geräte ausgeräumt hat, dies aber schlicht nicht als sicherheitsrelevant an Google gemeldet hat. In diesem Fall wären schon jetzt einige Smartphone-Modelle geschützt gewesen, die Assoziierung mit einem Sicherheits-Patch-Level zwingt nun aber sämtliche Hersteller nachzuziehen. Welches der beiden Szenarien korrekt ist, lässt sich von außen nicht mit Sicherheit sagen, da Google zu diesen Abläufen keinerlei Details liefert.

Der Patch Level macht's

Sicher ist jedenfalls nur, dass der Fehler bei allen Geräten mit dem Sicherheits-Patch-Level von 5. Juli 2020 oder neuer bereinigt ist. Das exakte Datum ist in dem Fall wichtig. Liefern doch viele Hersteller hier "nur" den Wert 1. Juli 2020. Darin sind aber die aktuellen Fixes für die proprietären Bestandteile von Firmen wie Broadcom oder Qualcomm nicht enthalten – genau um diese geht es hier aber. Ein Beispiel hierfür wären die aktuellen Geräte von Samsung, im separaten Security Bulletin des Unternehmens finden die betreffenden Lücken denn auch folgerichtig keine Erwähnung. Ob die jeweiligen Geräte dadurch noch gefährdet sind, bleibt also unklar. Wirklich sicher können sich Samsung-Nutzer insofern erst mit dem August-Update sein.

Normale Lücken

Jenseits der erwähnten Bugs räumt Google im Juli noch ein paar andere Sicherheitslücken aus. So wurden etwa kritische Lücken im Bluetooth-Stack sowie im Proxy Resolver behoben, die Angreifer ausnutzen hätten können, um erhöhte Rechte zu erlangen. Eine weitere kritische Lücke vermeldet Google im Media Framework von Android. Diese zeigt aber auch, welche Fortschritte die Android-Sicherheit in den vergangenen Jahren gemacht hat: Handelt es sich dabei doch um die erste Lücke im Media Framework überhaupt, die auch unter Android 10 als "kritisch" zu bezeichnen ist. In früheren Jahren musste Google in dieser Komponente praktisch jedes Monat eine Fülle von schweren Fehlern vermelden. Seitdem wurde das Media Framework aber grundlegend umgebaut.

Das Juli-Update ist umgehend für alle Gerät von Googles eigener Pixel-Serie erhältlich. Samsung hat bereits vor ein paar Tagen mit der Auslieferung der neuen Version begonnen, aber wie gesagt eben mit einem etwas niedrigeren Patch Level. Andere Hersteller sollten zumindest bei ihren Topgeräten bald nachziehen. (Andreas Proschofsky, 7.7.2020)