Patchday: Google fixt kritische Android-Lücken inklusive "MediaTek-su"
Zum Patchday stellt Google unter anderem einen Fix für eine alte Lücke in einem MediaTek-Treiber bereit, die Angreifer schon seit längerem aktiv ausnutzen.
(Bild: Shutterstock / Negro Elkha)
Auch im März hat Google wieder Sicherheits-Patches für das Android-Betriebssystem veröffentlicht. Sie schließen eine ungewöhnlich große Zahl als "kritisch" eingestufter Sicherheitslücken, nämlich insgesamt 17.
Ausgerechnet eine weitere Lücke in einem Treiber für MediaTek-Chips (CVE-2020-0069), die Google lediglich mit "High" bewertet, wird von externen Sicherheitsforschern als besonders gefährlich betrachtet. Exploit-Code ist offenbar schon seit fast einem Jahr öffentlich verfügbar; dass CVE-2020-0069 schon seit längerer Zeit aktiv von Angreifern ausgenutzt wird, überrascht daher kaum.
Weiterhin nennt Google im Bulletin noch zahlreiche weitere Lücken mit "High"- und drei mit "Moderate"-Einstufung.
Mit den aktuellen Patches hebt Google das Betriebssystem auf den Patch-Level 2020-03-05. Wie man die Versionsnummer auf dem eigenen Gerät überprüft, erläutert Google in einem Supportartikel.
CVE-2020-0031 ermöglicht Remote Code Execution
Laut Google ist die gefährlichste Lücke, die zum März-Patchday beseitigt wurde, CVE-2020-0031 im Android-Framework. Laut aktuellem Android Security Bulletin könnte ein entfernter Angreifer sie mittels einer speziell präparierten Datei ausnutzen, um im Kontext eines privilegierten Prozesses beliebigen Programmcode auszuführen (Remote Code Execution).
Die übrigen 16 von Google als kritisch bewerteten Lücken stecken ausnahmslos in Closed-Source-Komponenten von Qualcomm; über sie sind keine zusätzlichen Informationen verfügbar.
Aktive Angriffe: CVE-2020-0069 aka "MediaTek-su"
Die eingangs erwähnte, aktiv ausgenutzte Lücke CVE-2020-0069 steckt im MediaTek Command Queue Driver und betrifft somit ausschließlich mobile Geräte, in denen Chips des Herstellers zum Einsatz kommen.
Ein Exploit für die von ihrem Entwickler auf den Namen "MediaTek-su" getaufte Sicherheitslücke tauchte erstmals im April 2019 im Forum der Plattform XDA-Developers auf. MediaTek-su basierte ursprünglich auf einem Skript samt Anleitung zum Rooten von Amazon-Fire-Geräten, das der Entwickler stark erweiterte, nachdem er bemerkt hatte, dass der Exploit – seinen eigenen Worten zufolge – auf "praktisch alle 64-Bit-Chips von MediaTek" anwendbar war.
Das MediaTek-su-Skript könnte laut einem aktuellen Artikel zu MediaTek-su bei XDA-Developers durch beliebige (bösartige) Apps auf dem betreffenden verwundbaren Gerät ausgeführt werden, um bis zu dessen Neustart temporären Root-Zugriff zu erlangen. Im Forum der Plattform gibt es eine ausführliche Übersicht von Geräten, die die dortige Community "positiv" auf die Lücke testete.
Im Januar 2020 berichtete TrendMicro dann von Angriffskampagnen, in deren Zuge MediaTek-su (in der Beschreibung eher beiläufig erwähnt) in Kombination mit einer weiteren Sicherheitslücke von schädlichen Apps aus Googles Play Store missbraucht wurde. Diese zweite Lücke mit der CVE-Nummer CVE-2019-2215 schloss Google kurioserweise schon im Zuge des Android-Oktober-Patchdays.
MediaTek-OEMs versäumten Patch-Auslieferung
Amazon soll verwundbare Geräte laut XDA-Developers unmittelbar nach Bekanntwerden der Lücke abgesichert haben. Auch MediaTek habe bereits im Mai 2019 Patches für seine Partner bereitgestellt. Offenbar versäumten viele von ihnen aber, entsprechende Updates für ihre Geräte auszuliefern.
Nun hat Google im Zuge des Patchdays noch einmal Fixes bereitgestellt. Das Unternehmen stellt den jeweiligen Sourcecode für die Updates für gewöhnlich zeitnah im Android Open Source Project (AOSP) zur Verfügung und informiert Android-Partner einen Monat vor Veröffentlichung des jeweils aktuellen Android Security Bulletins.
Unklar bleibt, wann und wie Google selbst auf MediaTek-su/CVE-2020-0069 aufmerksam wurde. Verschiedene Medien berichteten, dass MediaTek Google um die Patch-Bereitstellung gebeten habe, um die Verteilung voranzutreiben. XDA-Developers wiederum will Google Anfang Februar 2020 kontaktiert haben und berichtet, dass das Unternehmen das Team daraufhin gebeten habe, bis zum jetzigen Zeitpunkt (also bis nach dem März-Patchday) auf die Veröffentlichung eines Artikels zu verzichten.
Somit scheint es denkbar, dass die "High"-Einstufung im aktuellen Security-Bulletin (im Unterschied zur "Critical"-Einstufung durch das XDA-Developers-Team) auch ein wenig mit dem Versäumnis zusammenhängt, zu einem früheren Zeitpunkt auf die Lücke hinzuweisen.
(Bild: XDA-Developers)
Zusätzliche Updates für Pixel-Geräte
Wie gewohnt hat Google auch im März ein separates Security Bulletin für seine Pixel-Smartphones mit Informationen zu einigen (auch Security-relevanten) Zusatzpatches veröffentlicht. Google Geräte erhalten die Patches wie immer automatisch.
(ovw)
