In den vergangenen Jahren hat sich rund um Android-Updates viel verbessert. Sowohl Sicherheitsaktualisierungen als auch große Versionssprünge kommen mittlerweile im Schnitt deutlich flotter als früher, auch der Support-Zeitraum wurde bei vielen Herstellern ausgedehnt. "Besser" heißt aber noch nicht "gut", dies verdeutlicht nun ein Vorfall, in dem ausgerechnet Android-Hersteller Google selbst ganz gehörig gepatzt hat.

Sicherheitsbereinigungen

Am Montagabend hat Google die neueste Ausgabe seines Android Security Bulletin veröffentlicht. Darin gelistet sind all die sicherheitsrelevanten Probleme, die mit dem parallel veröffentlichten April-Update für Pixel-Geräte bereinigt wurden. Die Liste an bereinigten Fehlern fällt dabei diesen Monat relativ unaufregend aus, spannender ist da schon, was in dieser – sowie einem ergänzenden Bulletin nur für Pixel-Geräte – fehlt.

"Dirty Pipe" bleibt offen

Die Anfang März unter dem Namen "Dirty Pipe" (CVE-2022-0847) öffentlich gewordene schwere Sicherheitslücke im Linux-Kernel ist nämlich nicht als bereinigt angeführt. Über diese können die Nutzer – aber eben auch Angreifer – sehr einfach Root-Rechte erlangen, mit denen sie dann weitreichenden Einblick in die Aktivitäten am System bekommen und auch Veränderungen vornehmen können. Betroffen davon sind nur Geräte mit einem relativ neuen Linux-Kernel, in Googles Fall ist das ausschließlich die Pixel-6-Serie.

Der Verdacht, dass diese Lücke nicht bereinigt wurde, bestätigt sich dann nach dem Einspielen des Updates: Der Kernel entspricht exakt jenem des Vorgängermonats und trägt dazu noch ein Datum, das von Ende Jänner stammt – also einem Zeitpunkt, wo "Dirty Pipe" noch gar nicht bekannt war.

Samsung

Was die Sache noch verwunderlicher macht, ist ein Blick zu Samsung: In dessen Security Bulletin für April wird die betreffende Lücke nämlich als bereinigt gelistet. Dies kurioserweise mit dem Hinweis auf Google, also dass man diesen Patch aus dem Security Bulletin des Android-Herstellers übernommen hat – wo er aber eben gar nicht vorkommt.

Das wirft natürlich die Frage auf, wie es zu dieser Inkonsistenz kommt. Zumal dem Android-Experten Mishaal Rahman von Esper aufgefallen ist, dass der Fix eigentlich in den Quellcode der Android-Kernel-Versionen eingeflossen ist – und zwar markiert für das April-Update. Eine denkbare Variante: Google könnte das Update ursprünglich für diesen Monat vorgesehen haben, dann aber wegen unerwarteter Probleme beim Testen auf die alte Kernel-Version zurückgerudert sein.

Grundlegende Probleme

Das würde sich in ein Bild einpassen, das sich in den vergangenen Monaten zunehmend verfestigt hat – nämlich dass Google echte Probleme mit den Updates für das Pixel 6 hat. Mehrere der monatlichen Aktualisierungen waren bisher gegenüber den anderen Google-Geräten um Wochen verspätet. Dieses Mal ist es zwar zeitgerecht erschienen, dafür fehlt aber eben diese wichtige Fehlerbereinigung.

Über die Gründe dafür lässt sich wiederum nur spekulieren. Klar ist aber, dass dies mit dem Wechsel auf einen eigenen SoC – also Tensor – einhergeht. Für diesen hat man eng mit Samsung zusammengearbeitet und übernimmt auch Teile der Software von dem Partner. Eventuell ist also diese Kooperation noch nicht so eingespielt wie zuvor mit Qualcomm. (Andreas Proschofsky, 5.4.2022)