Jeden ersten Montag im Monat hält Google eine Art Patch Day für Android ab. Mit einem Sammel-Update werden dabei aktuell aufgespürte Sicherheitslücken in dem Betriebssystem ausgeräumt. Und die April-Aktualisierung ist dabei jetzt besonders ausführlich ausgefallen.

Mediaserver dominiert

Satte 15 kritische Sicherheitslücken bereinigt Google in der aktuellen Update-Runde. Der Großteil davon betrifft – wie schon in den letzten Monaten – den Mediaserver von Android. Allesamt eint sie, dass Angreifer mittels manipulierte Bilder oder Videos auf ein ungeschütztes Smartphone eindringen und Code mit den Rechten des Mediaservers ausführen können. Auf diese Weise könnten etwa laufende Audio- und Video-Streams ausspioniert werden. Ein potentielles Angriffsszenario wäre hier das Einbetten einer solchen Datei in eine Webpage, die der User besucht.

Netzwerkverbindung

Besonders schwerwiegend klingt auch eine Serie von Lücken im DHCP-Client von Android, der eine zentrale Rolle in der Aufnahme von Netzwerkverbindungen einnimmt. Über einen manipulierten DHCP-Server könnte hier ebenfalls Code auf ein Smartphone eingeschmuggelt und zur Ausführung gebracht werden. Ein realistischer Angriffsweg wäre das Betreiben eines eigenen WLAN-Netzes, bei dem der DHCP-Server entsprechend präpariert wurde. Die User würden dann direkt bei der Verbindung in dieses Netz von Schadcode infiziert werden.

Root Exploits

Einmal mehr findet sich in der Liste der geschlossenen Bugs auch zwei sogenannte Root-Exploits, also Fehler über die bösartige Apps weitgehend uneingeschränkte Rechte über das Smartphone erhalten können. Entsprechende Modifikationen könnten nur durch das Aufspielen eines Factory-Images wieder rückgängig gemacht werden.

Nicht nur kritische Bugs

Zu all den kritischen Fehler gesellen sich noch 16 weitere Sicherheitsbereinigungen, die Google mit der Warnstufe "hoch" versehen hat sowie 8 Bugs mit "moderater" Gefährdung.

Updates

Parallel zur Veröffentlichung des Security Bulletins hat Google mit der Auslieferung von entsprechenden Updates für die aktuell noch unterstützten Geräte der Nexus-Reihe und das Pixel C begonnen. Wie vom Android-Hersteller gewohnt erfolgt die Auslieferung der neuen Version in Wellen, es kann also einige Tage brauchen, bis alle Geräte das Update erhalten. Der in den Systeminformationen aktueller Android-Ausgaben zu findende Sicherheits-Patch-Level wird damit auf den 2. April 2016 angehoben, steht hier ein älterer Wert, ist das Gerät noch ungeschützt.

Blackberry legt vor

Besonders flott gibt sich übrigens erneut Blackberry: Das Unternehmen hat für sein Android-Smartphone Priv ebenfalls ein entsprechendes Update geliefert. Wann – und ob – andere Hersteller nachziehen, ist wie üblich noch unbekannt. (Andreas Proschofsky, 5.4.2016)