Veröffentlicht inDigital Life

Vorsicht: Neu entdeckte Schwachstelle betrifft zwei Drittel aller Android-Handys

Philipp Rall von Philipp Rall

MediaTek und Qualcomm statten unzählige Android-Handys mit Bauteilen aus. Eines von ihnen könnte für Nutzerinnen und Nutzer zum Risiko werden.

Android-Handy
© Getty Images/Ilze Kalve

Mit stetig neuen Softwareupdates unternehmen Entwickler alles, damit dein Smartphone gegen Angriffe von außen geschützt ist. Problematisch wird es aber, wenn ein Fehler nicht in der Soft-, sondern in der Hardware liegt – vor allem dann, wenn diese in über 66 Prozent aller Android-Handys weltweit verbaut ist.

Android-Handys gefährdet

Das Forschungsteam von Check Point Research hat in der Vergangenheit schon auf so manche Sicherheitslücke aufmerksam gemacht. So entgeht den Expertinnen und Experten auch eine Schwachstelle nicht, die sich im Apple Lossless Audio Codec (ALAC) verbirgt. Das von Apple entwickelte Audiokodierungsformat wird zur Komprimierung von Musikdaten im digitalen Format genutzt – auch auf Android-Handys.

Seit das US-Unternehmen den Codec Ende 2011 als Open Source freigegeben hat, wurde er immer wieder aktualisiert. Dabei behoben Entwickler*innen Sicherheitslücken und schufen neue Versionen. Das Problem: Qualcomm und MediaTek haben offenbar eine anfällige Version des ALAC in ihren Audio-Decodern verwendet. Sie kommen in rund zwei Dritteln aller weltweit genutzten Android-Handys zum Einsatz.

Tunichtgute könnten die Schwachstelle beispielsweise ausnutzen, um aus der Ferne Schadware auf betroffenen Smartphones auszuführen. Sie ließe sich beispielsweise als Mediendatei versenden. Wird der vermeintliche Song abgespielt, ist der schädliche Code nicht mehr zu halten.

Sicherheitslücken geschlossen

Schon im Voraus zur Veröffentlichung im Check Point Blog informierte das Team die beiden betroffenen Unternehmen über ihre Fehler. Diese haben mittlerweile Maßnahmen ergriffen, um die Schwachstellen zu beheben.

MediaTek wies den ALAC-Problemen die Patches CVE-2021-0674 und CVE-2021-0675 zu. Die Lücken wurden geschlossen und im Sicherheitsbulletin von MediaTek vom Dezember 2021 veröffentlicht. Qualcomm hat inzwischen den Patch für CVE-2021-30351 in seinem Sicherheitsbulletin vom Dezember 2021 veröffentlicht. Android-Handys, die sich auf dem aktuellen Software-Stand befinden, sollten daher sicher sein. Ist es deins noch nicht, solltest du es dringend aktualisieren.

Quelle: Check Point Blog

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.