Mit dem Android Security Bulletin für Februar 2024 dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bugfixes der Chiphersteller. Google verteilt die Sicherheitslücken auf zwei so genannte Patch Level.
Zwei Patch Level im Android Security Bulletin
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-02-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-02-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen. Dementsprechend verpflichtet Google die Hersteller zur Implementierung der jeweils passenden Sicherheits-Patches.
Patch Level 2024-02-01 mit einer kritischen Lücke
Für das Patch Level 2024-02-01 weist das Security Bulletin im Februar 15 beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Eine Schwachstelle in Android 11 bis 14 stuft Google als kritisch ein: Ein Angreifer, der CVE-2024-0031 ausnutzt, kann ohne weitere Berechtigungen Code einschleusen und ausführen. Alle übrigen Lücken sind als hohes Risiko ausgewiesen. Über Google Play werden in diesem Monat keine Updates verteilt.
▶Die neuesten Sicherheits-Updates
Patch Level 2024-02-05 ohne kritische Lücken
Für das Hardware-nahe Patch Level 2024-02-05 führt das Februar-Bulletin 31 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPUs), MediaTek, Unisoc und Qualcomm. Alle Schwachstellen sind als hohes Risiko ausgewiesen. Bei Mediatek (CPUs und andere Chips) betreffen vier von neun Lücken das 5G-Modem. In Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten) stecken allein 17 Schwachstellen, etwa im WLAN-Modul.
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte weist in diesem Monat sieben zusätzliche Sicherheitslücken auf, die Google beseitigt hat. Eine (CVE-2024-22012) ist als hohes Risiko eingestuft und steckt im Bootloader. Alle anderen gelten als mittleres Risiko und betreffen Qualcomm-Komponenten. Updates erhalten die Modelle Pixel 5a (5G) und neuer. Das Pixel 5a (5G) bekommt noch bis August 2024 Updates. Für neuere Modelle liefert Google fünf oder gar sieben Jahre lang Sicherheits-Updates.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Android, Business, Mobile, Security Software and Services