Schwere Schwachstelle CVE-2019-2215 im Android-Kernel, wird ausgenutzt

Aktuell warnt Google vor einer kritischen Sicherheitslücke im Linux-Kernel von Android, die bereits ausgenutzt wird. Unschön: Die Schwachstelle wurde bereits 2017 entdeckt und so manches Android-Smartphones wird nie ein Update erhalten.


Anzeige

Die Warnung kommt von Maddie Stone, die in Googles Project-Zero-Team arbeitet. In diesem Beitrag wurde die Schwachstelle CVE-2019-2215 am 27. Sept. 2019 eingestellt, wohl aber erst zum 4. Oktober 2019 bekannt gegeben, wie The Hacker News hier schreibt. Es handelt sich um eine Use after Free-Schwachstelle im Binder-Treiber des Linux-Kernel. Über die Schwachstelle lassen sich die Rechte von Apps erweitern.

Die Schwachstelle findet sich in Versionen des Android-Kernels, der vor April letzten Jahres veröffentlicht wurden. Im Dezember 2017 wurde zwar ein Patch für den 4.14 LTS Linux-Kernel veröffentlicht. Dieser wurde aber nur in den AOSP Android-Kernel-Versionen 3.18, 4.4 und 4.9 integriert. Zur Schwachstelle schreibt Tim Willis, ein weiteres Mitglied von Project Zero:

This issue is rated as High severity on Android and by itself requires installation of a malicious application for potential exploitation. Any other vectors, such as via web browser, require chaining with an additional exploit. We have notified Android partners and the patch is available on the Android Common Kernel. Pixel 3 and 3a devices are not vulnerable while Pixel 1 and 2 devices will be receiving updates for this issue as part of the October update.

Dieses Problem wird mit einem hohen Schweregrade Android eingestuft und erfordert zur direkten Ausnutzung aber die Installation einer bösartigen App. Dann kann diese aber Root-Rechte erhalten. Alle anderen Angriffsvektoren, z.B. über den Webbrowser, müssen mit einem zusätzlichen Exploit verknüpft werden.

Die Schwachstelle wird ausgenutzt

Die Google Sicherheitsforscher haben von der Thread Analysis Group (TAG) Hinweise, dass die Schwachstelle praktisch von Kunden der NSO-Group ausgenutzt wird. Die NSO-Group ist ein Anbieter, der Zero-Day-Exploits an zahlende Kunden verkauft. Golem hat das Ganze in diesem Artikel etwas beleuchtet und schreibt, dass sich Google sehr sicher sein müsse, dass die NSO-Group genannt wird.

Welche Smartphones sind betroffen?

Die Schwachstelle CVE-2019-2215 betrifft laut dem Post von Maddie Stone im Chromium-Bug-Tracker folgende Smartphones:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG Phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

Maddie Stone hat einen lokalen Proof-of-Concept Exploit geschrieben, der auf einem Pixel 2 mit Android 10 und dem Sicherheitspatch Level September 2019 funktioniert. Die Pixel 3 und 3a Modelle von Google sind nicht anfällig. Die Google Pixel 1 und 2 sollen im Rahmen des Oktober-Updates einen Fix für dieses Problem erhalten. Die Android-Partner wurden von Google informiert und sollten Updates bereitstellen.

Das Problem: Android-Smartphones, die noch im Update-Zyklus sind, erhalten diese Sicherheitsupdates meist mit einer Verzögerung von 3 Monaten. Viele Android-Modelle sehen sogar nie ein Update. Android-Nutzern bleibt aus meiner Sicht nur, sich in der Zahl der Apps, die installiert werden, zu beschränken und auf vertrauenswürdige App-Entwickler zu setzen. Weitere deutschsprachige Artikel zum Thema lassen sich hier und hier nachlesen. Danke an Leon für den Hinweis.


Anzeige
Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Schwere Schwachstelle CVE-2019-2215 im Android-Kernel, wird ausgenutzt


  1. Anzeige
  2. radames sagt:

    Da sind einige Flagschiffe dabei. So wird das echt nichts mehr mit Android. Es sind zu viele am Updateprozess beteiligt: Google, Hardwarehersteller, Mobilfunkprovider und Endkunde bis es auf dem Gerät läuft.

    Da wurde verpasst von Anfang an Standards zu entwickeln, so dass Google direkt Updates ausrollen kann. Warum? Weil es fast keine generischen Kernels unter Android gibt, jeder Hersteller packt da noch eigene Treiber für diverse Hardwarekomponenten rein. Also muss jedes Update von allen Gliedern dieser Kette auf dem Weg zu mir abgesegnet werden.

    Man ist eine Geisel dieses Systems, das nur Hardwaremüll produziert. Und wenn man Lineage OS mit Root installiert muss man den Rootzugriff verstecken, da sonst im Playstore Apps wie Netflix ausgeblendet werden. Da diese Anbieter nicht wollen das jemand mit Adminrechten ihre App nutzt. Leider gibt es aber nur Lineage OS um alte Hardware mit der neusten Androidversion zu versehen. Nach zwei Jahren ist gefühlt EOL bei Samsung, etc.

    Bei Apple bekommt man recht gut Updates, aber diese Bremsen die CPU aus:
    https://www.heise.de/mac-and-i/meldung/Langsamer-werdende-iPhones-Benchmarks-deuten-Drosselung-durch-iOS-an-3922059.html

    Warum mein Rant? Weil man als Kunde kaum noch etwas richtig machen kann. Traue keiner App die nicht von einem namhaften Hersteller ist, der Rest ist sowieso kompromittiert. Updates bekommst du nicht, außer du legst mehr Kohle hin für ein Nexus/Pixel.

  3. N. Westram sagt:

    Naja, Apple ist mit seiner checkm8-Schwachstelle, aber auch keine sichere Lösung:
    https://www.heise.de/mac-and-i/meldung/checkm8-Boot-Exploit-soll-neuere-iPhones-knacken-4542075.html
    Ok, diese Schachstelle kann nicht aus der Ferne ausgenutzt werden, dafür ist sie aber anscheinend auch nicht korrigierbar.

    Mal sehen wohin das noch alles führen wird. Bald wird dann jeder auch noch Schlangelöl-Software (Virenscanner) auf dem Handy haben.

  4. Anzeige

  5. Roland Moser sagt:

    “…Die Schwachstelle wurde bereits 2017 entdeckt und so manches Android-Smartphones wird nie ein Update erhalten…”
    Verschwörungsthese: Es ist eine Verkaufsförderungs-Massnahme.

    • Potrimpo sagt:

      Vermutlich wird das 99% der Smartphone-User überhaupt nicht interessieren, insoweit auch keine Verkaufsförderungs-Maßnahme.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.