Android 4.4.4-Änderungen: OpenSSL-Lücke gepatcht, Towelroot Linux Kernel-Bugfix vergessen

Andreas Floemer 4

Sehr überraschend hat Google heute Android 4.4.4 KTU84P veröffentlicht. Das Update umfasst in erster Linie eine Reihe an Bugfixes, weshalb das OTA-File für das Nexus 5 lediglich 2,5 MB groß ist. Dennoch werfen wir einen – wenn auch kurzen – Blick auf die Änderungen des KitKat-Updates.

Android 4.4.4-Änderungen: OpenSSL-Lücke gepatcht, Towelroot Linux Kernel-Bugfix vergessen

Nur zwei Wochen ist es her, dass Google Android 4.4.3 (KTU84M3) für diverse Nexus-Geräte und Google Play Edition-Modelle veröffentlicht hat, schon reicht das Unternehmen aus Mountain View ein Bugfix-Update nach. Dieses behebt laut eines aufgetauchten Changelogs eine weitere OpenSSL Heartbleed-nahe Sicherheitslücke (CVE-2014-0224), die erst vor wenigen Tagen entdeckt wurde. Die erste Heartbleed-Lücke wurde bereits mit Android 4.4.3 geschlossen. Die frisch aufgetauchte OpenSSL-Lücke kann zu Man-in-the-Middle-Attacken bei als sicher geglaubten Verbindungen führen.

Außer diesem wichtigen Sicherheitspatch wurden noch kleinere Änderungen bei Webviews und Chromium vorgenommen sowie am Java-Eventlogging. Eine relevante Sicherheitslücke hat Google aber zu beheben vergessen, über die manche Nutzer sich möglicherweise sogar freuen: Die Rede ist von der Sicherheitslücke CVE-2014-3153 im Linux-Kernel 3.14.5, die Ex-iOS- und PlayStation-Hacker George Hotz (Geohot) sich zunutze machte, um die Ein-Klick-Lösung „Towelroot“ zum Rooten zahlreicher Android-Geräte zu entwickeln.

towelroot-screenshot-1

Der Exploit, den Geohot für Towelroot nutzt, ist in einer aktualisierten Version des Linux-Kernels behoben, Google hat dieses Update jedoch nicht in Android 4.4.4 implementiert, die Sicherheitslücke bleibt somit bestehen. Dies kann beinahe als fahrlässig betrachtet werden, denn durch den Linux-Kernel-Bug ist es Sicherheits-Experten zufolge möglich, durch eine manipulierte Anwendung schadhaften Code auf ein Android-Gerät zu bringen, mit dem Dritte unter anderem Zugriff auf sensible Daten erhalten und eine permanente Backdoor zum späteren Zugriff aufbauen können. Um sich davor zu schützen, sollte man Apps nur aus vertrauenswürdigen Quellen beziehen, keine ominösen Links klicken. Empfehlungen, die in die Kategorie „gesunder Menschenverstand“ gehören und ohnehin beachtet werden sollten.

Aus welchem Grund Google den aktualisierten und gepatchten Linux-Kernel nicht im aktuellen Update integriert hat, bleibt fraglich. Eine Möglichkeit könnte sein, dass man ohnehin bald ein großes Update – namentlich Android 5.0 – veröffentlicht. Dieses wird letzten Informationen zufolge den Linux-Kernel 3.14.8 (oder neuer) an Bord haben, die Sicherheitslücke schließen und Towelroot unschädlich machen.

Quellen: FunkyAndroid, Lacoon [via XDA Developers]

Zu den Kommentaren

Kommentare zu dieser News

* Werbung