Mit dem Android Security Bulletin für Januar 2024 dokumentiert Google die Schwachstellen des Mobilbetriebssystems, die dessen Entwickler in den offenliegenden Quelltexten beseitigt haben. Hinzu kommen Sicherheits-Patches aus dem Linux-Kernel sowie sicherheitsrelevante Bug-Fixes der Chiphersteller.
Die geschlossenen Sicherheitslücken verteilen sich üblicherweise auf zwei so genannte Patch Level. Das erste, 2024-01-01, enthält die geschlossenen AOSP-Lücken (Android Open Source Project). Im Patch Level 2024-01-05 sind die behobenen Lücken im Linux-Kernel (soweit sie Android betreffen) und in den Chipsätzen verschiedener Zulieferer dokumentiert. Letztere betreffen stets nur einen Teil der Android-Geräte, da deren Hersteller unterschiedliche Hardware-Komponenten verbauen.
Patch Level 2024-01-01 ohne kritische Lücken
Für das Patch Level 2024-01-01 weist das Security Bulletin im Januar zehn beseitigte Sicherheitslücken in den Kernkomponenten des Betriebssystems aus. Alle Schwachstellen sind als hohes Risiko ausgewiesen. Im schlimmsten Fall könnte sich schädlicher Code lokal höhere Rechte verschaffen.
Die neuesten Sicherheits-Updates
Über Google Play wird im Rahmen des Projekts Mainline ein Update verteilt, das die Schwachstelle CVE-2024-0018 in Media-Codecs beseitigen soll. Dieses Update ist für Geräte mit Android 11 bis 14 gedacht, die keine Herstellerunterstützung mehr erhalten.
Patch Level 2024-01-05 mit drei kritischen Lücken
Für das Hardware-nahe Patch Level 2024-01-05 führt das Januar-Bulletin 48 gestopfte Lücken auf. Sie verteilen sich auf Komponenten der Chipzulieferer ARM (Mali-GPUs), Imagination Technologies (PowerVR-GPUs), MediaTek, Unisoc und Qualcomm. Fast alle Schwachstellen sind als hohes Risiko ausgewiesen. In Komponenten des Chipzulieferers Qualcomm (Snapdragon-CPUs und andere Komponenten) stecken drei als kritisch einstufte Lücken, über die nichts weiter bekannt ist.
Pixel Update Bulletin
Das separate Bulletin für Googles Pixel-Geräte weist in diesem Monat lediglich drei zusätzliche Sicherheitslücken auf, die Google beseitigt hat. Alle drei sind als mittleres Risiko eingestuft und betreffen Qualcomm-Komponenten. Updates erhalten die Modelle Pixel 5a (5G) und neuer. Das Pixel 5a (5G) bekommt noch bis August 2024 Updates. Für neuere Modelle liefert Google fünf oder gar sieben Jahre lang Sicherheits-Updates.
Die Zahl der Smartphone- und Tablet-Hersteller, die mehr oder weniger regelmäßig Sicherheits-Updates für ihre Geräte bereitstellen, hat zwar in den letzten Jahren zugenommen, da ist jedoch noch immer viel Luft nach oben. Umso mehr, als manche Hersteller nur für ihre teuren Top-Modelle monatliche Updates anbieten. Während Samsung die Updates zeitnah ausliefert, oft sogar noch vor Google, hinken andere Hersteller teilweise mehrere Wochen (oder länger) hinterher.
Informationen zu Geräte-Updates nach Hersteller:
Android, Mobile, Security Software and Services