Security Blog

_HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

‹ Zurück

Bin mit einer alten Sicherheitslücke durcheinander gekommen. Diesmal war tatsächlich das TLS für die Verschlüsselung gemeint.

ABER es geht um eine Funktion des Kernels. Im Normalfall verwenden Chrome, GMail und Co. nich diese Funktion. Es könnte eher Verschlüsselungsprogramme wie VPN's betreffen, die TLS verwenden. Solche Sachen eben. EMail wäre wahrscheinlich nur angreifbar, wenn man mit einem manipulierten Mailserver direkt auf euren Mailclient reagieren würde. Aber das ist eher ausgeschlossen, weil ihr sicherlich nur bekannte Maildienste nutzt. Seid ihr im Besitz einer Fritzbox, dann könntet ihr euch mit einer Wireguard VPN Verbindung wahrscheinlich zu 100% schützen bis das Update da ist.

#######################

Die ersten Infos sind da!

1. Die ZERO Lücke betrifft tatsächlich Qualcomm mit der Grafikausgabe. Irgendwo ist dort ein Bug drin. Die Samsung Smartphones der S Klasse sind wohl auf jeden Fall davon betroffen. Ansonsten könnte es jedes Smartphone betreffen, das Qualcomm Technik verbaut hat.

2. Die RCE Lücke betrifft das Video. Genauer die libapv.

APV steht für Advanced Professional Video. Es handelt sich um einen relativ neuen Video-Codec, der ursprünglich von Samsung entwickelt und später als Standard (IEEE 1857.10) festgeschrieben wurde. Im Gegensatz zu Codecs wie H.264 oder HEVC, die darauf getrimmt sind, Dateien so klein wie möglich zu machen (mit hohem Rechenaufwand), ist APV für professionelle Videoproduktion optimiert.

Man kann also über ein manipuliertes Video ein Schadprogramm zur Ausführung bringen. Betroffen ist scheinbar nur Android 16, weil die kleineren Versionen andere Libs verwenden bzw. es erst mit Android 14 eingeführt wurde.

3. Keine weiteren Infos zur kritischen Lücke, die mit dem Featureupdate geschlossen wurde. Aber es könnte sein, dass die Älteren Android Versionen (kleiner 16) nur in abgeschwächter Form oder gar nicht davon betroffen sind.

4. Es wurde eine kritische Lücke im System geschlossen, die man über das BIldformat "JPEG" ausnutzen konnte. Es ging wohl um die Größe der JPEG. Jedenfalls konnte man damit scheinbar das System zum Absturz bringen.

5. Dann gab es eine kritische Lücke im Kernel, die das Dateisystem betraf. Genauer ging es um die Adressierung im virtuellen Speicherbereich.

6. Weitere kritische Lücken, die den Hypervisor (pkvm und kvm) des Kernel betreffen. Also einmal die Standardimplementierung im Linux Kernel und einmal die Erweiterung durch Google. Da ging es zum Beispiel darum, dass das System der Trustzone (der Hypervisor) einen Speicherbereich anbot, obwohl dieser eventuell gar nicht mehr in die Speichertabelle passte, d.h., die Trustzone würde in einen nicht vorhanden Speicherbereich adressieren. Das System würde es zwar bemerken, aber das kann etwas dauern bis dieser Zustand behoben ist, und das könnte ausgenutzt werden. So ungefähr kann man sich das vorstellen.

Eine weitere kritische Lücke betrifft wohl das MTE (Memory Tagging Extension).

MTE funktioniert, indem jedem Speicherbereich ein 4-Bit-Tag ("Markierung") zugewiesen wird. Wenn Software auf den Speicher zugreift, muss der "Schlüssel" des Prozessors mit dem "Tag" des Speichers übereinstimmen.

Die Sicherheitslücke entsteht hier:

Die Hardware kann MTE.
Das Betriebssystem (Host/Kernel) hat MTE aber deaktiviert (z. B. per Boot-Option oder Konfiguration).
Die Gefahr: Wenn der Hypervisor (EL2) MTE nicht explizit blockiert (trapping), könnte ein böswilliger Gast oder ein Prozess dennoch versuchen, MTE-Befehle auszuführen.

######Falsche Lücke#################

7. Eine Lücke im TLS des Kernels. Es ist damit nicht das TLS für das Internet gemeint!

In der Kernel-Entwicklung ist TLS die Abkürzung für Thread Local Storage. Da Android auf dem Linux-Kernel basiert und dieser auf ARM-Hardware läuft, nutzt er das TPIDR-Register (Thread ID Register), um den Ort des TLS für jeden Thread zu speichern. Der Fehler war, dass die Daten dieses Speichers nicht korrekt gelöscht wurden. Dadurch konnte man auf die Daten zugreifen und so ebentuell mit falschen Zugriffsrechten agieren.

####################################

Ansonsten viele Sicherheitslücken der Stufe "High". Bei Unisoc und Mediatek ist es das Modem, dann in der PowerVR GPU, im Mali Grafikchip.

###MSG v. 5.3.26#########

Mehrere Sicherheitslücken!

Eine Lücke ermöglicht auf jeden Fall eine Remote Code Execution (Android 16) im System (Details noch offen). Es gibt auch eine kritische Lücke im Framework (Rechteausweitung), wahrscheinlich per schadhafter App. Diese wird mit dem aktuellen Featureupdate "16-qpr2" geschlossen, falls man es bekommt. Alle anderen Versionen sollen wohl weiterhin gefährdet sein. Das Featureupdate wird mit dem März Update gleichzusetzen sein, zumindest bei allen bekannteren Herstellern. Schauen muss man nach CVE 2026-0047.

Eine weitere kritische Lücke betrifft den Kernel. Ebenfalls eine Rechteausweitung, scheinbar Schreibrechte. CVE-2024-43859

Die Zero Lücke soll in den Grafikkomponenten von Qualcomm stecken, und wird mit dem März Update scheinbar geschlossen.

Ansonsten viele weitere Lücken. Ich muss das noch sichten...

Was tun?

Das Update sollte installiert werden, wenn es vom Smartphone-Hersteller bereitgestellt wird. Habt ihr ein gerootetes Android mit entsprechendem System, wird das Update von den Systementwicklern bereitgestellt. Die Sicherheitslücken betreffen nicht alle Geräte, aber die meisten. Die Einstellungen für das Update findet ihr in den Android-Einstellungen. Dort müsst ihr nach dem Sicherheitspatch-Level suchen. Für das entsprechende Monats-Update sollte dort ein entsprechendes Datum für den jeweiligen Monat angezeigt werden.

Apps nur aus offiziellen/ seriösen Quellen installieren.

Deaktiviert WLAN und Bluetooth, wenn ihr unterwegs seid und es nicht zwingend benötigt (Bluetooth im Auto, beim Joggen oder Wandern ist seltener ein Problem). Das verlängert gleichzeitig die Akkulaufzeit.

Verbindet euch nur mit bekannten Geräten. Sobald ihr mit einem Gerät verbunden seid, verringert sich bereits das Risiko von einigen Angriffen.

Mobilfunk ist in der Regel schwerer angreifbar. Die Bedrohung beim Mobilfunk geht meist eher von unbekannten Anrufen aus. Abgesehen davon, dass unseriöse Personen versuchen könnten, euch etwas aufzuschwatzen. Kommt die Nummer aus Malta oder einem ähnlichen Ort und ihr habt keine Bekannten, die dort Urlaub machen, dann stimmt etwas nicht. Bloß nicht rangehen!

Und Lottospielern dürfte der Gedanke gefallen, dass sich Sicherheitslücken auf unterschiedlichen Geräten unterschiedlich auswirken können.

Einschränkend solltet ihr außerdem den physischen Zugriff über die Einstellungen auf das Gerät begrenzen und Apps nur aus vertrauenswürdigen Quellen oder offiziellen App-Stores installieren.

Google wird als Erster Updates zur Verfügung stellen. Samsung steht ebenfalls bereits in den Startlöchern, aber aktuelle Geräte werden es wahrscheinlich zuerst erhalten.