In einem fixen monatlichen Rhythmus veröffentlicht Google neue Sicherheits-Updates für sein Betriebssystem Android. Nun ist es wieder einmal soweit: Das November-Update schließt dutzende kritische Sicherheitslücken, verblüfft aber auch damit, dass ein bekanntes Problem selbst auf Googles eigenen Geräten vorerst offen bleibt.

Dirty Cow

Jene kritische Lücke im Linux-Kernel, die vor knapp drei Wochen bekannt wurde, und die nicht zuletzt aufgrund dessen, dass sie sich besonders einfach ausnutzen lässt, für Schlagzeilen sorgte, wird mit den aktuellsten Updates von Google noch nicht geschlossen. Zwar wird der "Dirty Cow" genannte Bug im Android Security Bulletin für November explizit erwähnt, in den parallel dazu veröffentlichten Updates für Nexus- und Pixel-Geräten ist der Fix aber nicht enthalten.

Grundlegende Fragen

Dieser Vorfall wirft grundlegende Fragen zur Funktionstüchtigkeit des Android-Sicherheits-Update-Zyklus auf. Zwar hat der im Sommer des Vorjahres eingeführte, monatliche Update-Rhythmus fraglos zu einer erheblichen Verbesserung der Sicherheitslage unter Android geführt, mittlerweile zeigen sich aber auch die Schwächen des dahinterstehenden Prozess. Um zu ermöglichen, dass andere Hersteller parallel zu Google Updates ausliefern können, werden diese nämlich bereits ein Monat vor der Veröffentlichung über die anstehenden Aktualisierungen informiert, und mit den passenden Patches beliefert. Dies führt dazu, dass es schwer ist, auf aktuelle Bedrohungen schnell zu reagieren, da damit das Update-Set schon Wochen vorher festgeschrieben ist. Zudem kritisieren Sicherheitsexperten, dass damit eine große Zahl von Personen – die Angestellten der betreffenden Hardwarehersteller – über die Lücken informiert werden, bevor sie geschlossen wurden.

Es bleibt abzuwarten, ob Google für die eigenen Geräte in den kommenden Tagen noch ein entsprechendes Update nachliefern will. "Dirty Cow" lässt sich dazu nutzen, um auf einem Android-Smartphone Root-Rechte zu erlangen, womit sich infolge dann beliebige Änderungen am System vornehmen lassen. Einschränkend muss allerdings erwähnt werden, dass bei Nexus- und Pixel-Geräten die dadurch entstehende Gefährdung endenwollend ist. Solange der Bootloader des Geräts gesperrt ist, prüft das System nämlich unter Android 7.0 bei jedem Boot die Integrität des Systems, wurde dies verändert, verweigert es schlicht den Boot. Jeglicher Hack würde also schnell auffliegen.

Dutzende Sicherheitslücken bereinigt

Aber auch jenseits von Dirty Cow bringt das November-Update wichtige Sicherheitsbereinigungen. So wird einmal mehr eine kritische Sicherheitslücke im Media Server von Android geschlossen. Ebenfalls als kritisch wird ein Problem in der Pack-Bibliothek libzipfile bewertet, die aber aktuelle Android-Versionen nicht mehr betrifft und nur bis zur Version 5.1.1 vorhanden war. Jede Menge kritische Probleme liefern hingegen die in Android enthaltenen Drittkomponenten hinzu: So werden eine Fülle weiterer Bugs im Linux-Kernel geschlossen, die ebenfalls eine Rechteausweitung ermöglichen. Und auch die diversen proprietären Treiber von Herstellern wie Qualcomm und Nvidia erweisen sich als problematisch.

Nexus 5 noch unterstützt?

Am Rande sei erwähnt, dass das aktuelle Security Bulletin in einer Hinsicht positiv überrascht. Das Nexus 5 wird hier nämlich weiterhin als offiziell unterstützt gelistet, obwohl der Support-Zeitraum von drei Jahren mittlerweile abgelaufen ist. Da allerdings parallel dazu kein neues Factory Image veröffentlicht wurde, muss sich erst zeigen, ob Google hier tatsächlich noch ein Update geliefert wird, oder ob es sich nur um einen Fehler in dem Dokument handelt.

Pixel first

Die Auslieferung der Updates für aktuell unterstützte Nexus- und Pixel-Geräte hat bereits begonnen. Wie gewohnt erfolgt die Auslieferung dabei in Wellen, es kann also einige Tage dauern, bis sämtliche Gerät die neue Version erhalten. Eine Ausnahmen scheinen Pixel und Pixel XL zu bieten: In Kombination mit den Google Play Services 10 ließ sich hier am Gerät des Autors über den manuellen Update-Check eine umgehende Auslieferung der neuen Version auslösen. Da dies auch von anderen Usern bestätigt wird, könnte Google also zumindest für die neuen Geräte seine bisherige Policy ändern.

Die beiden Pixel-Modelle sind aber auch beim Installationsablauf speziell, erfolgt hier die Installation des Updates doch im laufenden Betrieb im Hintergrund auf ein zweites Set an Systempartitionen. Beim nächsten Reboot wird dann einfach auf das neue System gewechselt, die bisher bekannte, ausführliche Wartezeit zur Installation des Update entfällt komplett. (Andreas Proschofsky, 8.11.2016)