Laut einem Bericht von Forbes gabt die US-Regierung über die CISA (Cybersecurity and Infrastructure Security Agency) eine neue Warnung an alle Bundesbediensteten mit Pixel-Geräten heraus, ihre Geräte bis zum 4. Juli zu aktualisieren. Andernfalls wird ihnen geraten, die Smartphones nicht mehr zu benutzen.
Auch Privatpersonen und Unternehmen wird empfohlen, ihre Pixel-Geräte auf die neueste Software zu aktualisieren, um die Sicherheitslücke zu schließen.
Die Sicherheitslücke mit der Bezeichnung CVE-2024-29748 war Teil der von der GrapheneOS-Gruppe entdeckten Sicherheitslücken. Google veröffentlichte den ersten Patch bereits im April, während ein zweiter Patch mit der Bezeichnung CVE-2024-32896 über Android 14 QPR3 (Quarterly Platform Release) im Juni veröffentlicht wurde.
Obwohl Google keine detaillierten Angaben zu diesen Schwachstellen machte, ist bekannt, dass diese bereits als Zero-Day-Schwachstellen von Forensikern und Hackern ausgenutzt wurden, um Gruppen oder Einzelpersonen anzugreifen.
Ein Zero-Day-Exploit ist eine Schwachstelle, die bei Angriffen ausgenutzt wird, um auf Geräte und sensible Informationen zuzugreifen und diese sogar zu kontrollieren, bevor ein Hersteller die von den Hackern genutzte Schwachstelle bemerkt oder entdeckt hat.
Sind alle Android-Geräte von Zero-Day-Exploits betroffen?
Laut GrapheneOS sind nicht nur die Pixel-Geräte gefährdet, sondern auch die meisten anderen Android-Geräte. Das einzige Problem ist, dass der Fix für Nicht-Pixel-Modelle erst mit Android 15 käme, da er zurückportiert werden muss. Noch schlimmer ist, dass Handys oder Tablets, die nicht auf Android 15 aktualisiert werden können, möglicherweise keine Lösung für die Sicherheitslücke erhalten.
Nichtsdestotrotz könnt Ihr Euch und Euer Device vor anderen Sicherheitsbedrohungen schützen, indem ihr einige grundlegende Sicherheitsmaßnahmen befolgt, wie z. B. die Aktualisierung auf die neueste Software, die Vermeidung von Verbindungen mit öffentlichen WLANs und die Aktivierung von Funktionen wie dem Schutz vor gestohlenen Geräten.
Was haltet Ihr von diesen Sicherheitslücken in Android? Sollten Google und andere Hersteller gezwungen sein, eine konkretere und schnellere Lösung für diese zu finden? Lasst uns Eure Antworten in den Kommentaren diskutieren.
Und wieder einmal wird die Update Politik der Hersteller zur Schwachstelle für jeden der ein Android Gerät hat.
Ich erwarte hier beim Thema Updates immer noch ein Zwang für die Hersteller. Es kann doch nicht sein, dass wenn jemand bei dem ein oder anderen Hersteller in 2023 ein Gerät kauft und die ein Update sehen wird. Das kann so nicht weiter gehen.
Die Update-Pflicht wird doch gerade eben über die politische Ziellinie geschoben, mit einer Verpflichtung für wenigstens fünf Jahre. Schwachstellen werden aber vermutlich auch dann immer mal wieder aufgedeckt. Nur müssen diese dann abgestellt werden. Wie schnell das letztlich vonstatten geht, wird sich freilich erst zeigen müssen.
"Schwachstelle für jeden der ein Android Gerät hat."
Das stimmt so pauschal eben nicht (mehr). Zwischenzeitlich bieten viele große Android Gerätehersteller eine gute bis sehr gute Update Politik. Und der im Artikel erwähnte Patch zeigt das am Beispiel von Google.
"Nachdem Google die Zero-Day-Schwachstellen patchte, zwingt die US-Regierung Pixel-User nun zum Update."
Im Artikel dann kein Wort mehr von einem Zwang der US-Regierung. Sorry, aber das ist Bild-Niveau oder sogar noch darunter.
Mein Smartphone bekommt schon seit einem Jahr keine Updates mehr. Aber deshalb mache ich mir trotzdem nicht in die Hose, und behalte es bis es nicht mehr geht (mindestens noch 2 Jahre). Man muss doch nicht wegen jeder Meldung gleich panisch neue Geräte kaufen. In der Vergangenheit gab es schon zahlreiche solcher Meldungen, bei denen sich kurze Zeit später herausstellte, dass solche Sicherheitslücken in der Praxis keine Gefahr darstellen. Egal ob es jetzt Android oder Windows betraf. Don’t worry, be happy.
Ist bei mir ähnlich, und ich sehe das genau wie du. Man muss nicht gleich panisch werden. Solange es keine offenen Scheunentore sind, jedenfalls. Bei solchen finde ich allerdings, sollte es eine Pflicht für Hersteller geben, sie bis X Jahre nach dem Release des Smartphones fixen zu müssen.
Mein Smartphone ist seit über 5 Jahren auf dem Markt und ich mache mir da auch nichts vor: Das Ding ist für den Hersteller abgeschrieben. Aber es läuft leider noch ziemlich gut, weswegen ich es immer noch nutze. Vermutlich auch noch 1 bis 2 Jahre lang.
Gehen Ende des Jahres soll ja diese EU-Vorschrift zu einer fünfjährigen Update-Pflicht kommen, am Donnerstag wird über eine entsprechende Ergänzung des BGB im Bundestag abgestimmt. Bevor das durch ist, kaufe ich nichts Neues.
Aber sicher wieder mit einen ellenlangen Übergangsfrist. Dann könnten frühestens Geräte in 4 Jahren mit Zwangsupdates kommen. Also noch eine sehr lange Zeit für die Hersteller.
Die habe ich ganz vergessen, danke!
Das EU-Gesetz ist bereits seit März 2023 in Kraft, und sieht eine Übergangsfrist von 21 Monaten vor. Diese Übergangsfrist ist also Ende 2024, Anfang 2025 abgelaufen, und die Hersteller können sich nicht mehr darauf berufen.
Bei der deutschen Gesetzesanpassung lag ich allerdings daneben. Dieses Gesetz ist bereits seit Januar 2022 in Kraft (die Abstimmung diesen Donnerstag ist also Quatsch). Über die darin vorgesehenen Übergangsfristen konnte ich überhaupt nichts in Erfahrung bringen, dazu müsste man vermutlich den Gesetzestext selber lesen, was ich mir ersparen will.
Da europäisches Recht normalerweise "stärker" ist, als nationales Recht, gehe ich aber davon aus, dass die Übergangsfristen in den deutschen Gesetzen zwar länger sind, weil das deutsche Gesetz früher in Kraft getreten ist, ihr Ende aber mit dem der europäischen Vorschriften zusammenfällt.
Der verlinkte Artikel im "DerStandard" ist das aussagekräftigste, was ich finden konnte.
Er ist allerdings von November 2022, und in dem Artikel heisst es, das EU-Gesetz "soll" März 2023 in Kraft treten.
Da man aber sehr viele Quellen finden kann, in denen von einer Wirksamkeit Ende 2024 die Rede ist, kann man davon ausgehen, dass das EU-Gesetz tatsächlich im März 2023 in Kraft getreten ist, und die 21-monatige Übergangsfrist dann auch Ende 2024 abgelaufen ist.
Ich gehe also stark davon aus, dass zumindest Geräte, die ab Januar 2025 erstmalig zum Verkauf angeboten werden, dann auch den neuen Bestimmungen unterliegen und 5 Jahre lang mit Updates (Funktions- und Sicherheitsupdates) versorgt werden, meinem Kenntnisstand nach nicht ab erstmaligem Verkauf, sondern ab Einstellung der Herstellung, da lege ich mich aber nicht fest.
Quellen:
https://www.derstandard.de/story/2000141203088/eu-verpflichtet-smartphone-hersteller-zu-fuenf-jahren-updates
https://www.heise.de/news/Update-Pflicht-fuer-digitale-Geraete-Gesetz-steht-zur-Abstimmung-6114219.html