Android 4.4.4 – Bugfix Update behebt OpenSSL Sicherheitslücke, Towelroot Exploit weiter unberührt

Android_4.4.4_Nexus_Logo

Das ging aber schnell, keine 3 Wochen nach dem Update auf Android 4.4.3 stellt Google ein weiteres Update auf Android 4.4.4 zur Verfügung. Grund für diesen hastig hinterhergeschobenen Fix ist das Schließen einer weiteren OpenSSL Lücke, die im Zusammenhang mit der als Heartbleed-Bug bekanntgewordenen Sicherheitslücke steht. Mit einer Größe von mickrigen 2,5 Megabyte würde ich Android 4.4.4 deshalb auch eher als Securityfix, denn als Versionssprung mit neuen Funktionen bezeichnen.

Android_4.4.4Maßgeblich wird eine Lücke mit Bezeichnung ChangeCipherSpec(CCS)-Injection nach CVE-2014-0224 gepatcht, die es Hackern ermöglicht verschlüsselte Daten eines Servers oder Clients zu stehlen und dessen Identität anzunehmen. Interessanterweise wird aber der erst kürzlich vom Hacker George Francis Hotz genannt geohot vorgestellte Towelroot nicht gepatcht, bei dem es sich ursächlich selbst um eine Sicherheitslücke handelt. Hier kommt CVE-2014-3153 (Linux kernel futex local privilege escalation) zum Einsatz. Dabei handelt es sich um einen Fehler im Android zugrunde liegenden Linux-Kern, der an sich komplett offline arbeitet. Für Android im allgemeinen bedeutet dies, dass gezinkte Apps die mit Towelroot ähnlichen Komponenten ausgestattet sind, nach ihrer Installation temporär Superuser-Privilegien erhalten und somit in der Lage sind Komponenten in Euer System einzuschleusen.

Wie immer gilt das Google seine Updates in Wellen ausrollt und es noch eine gewisse Zeit dauern kann bis Android 4.4.4 bei euch aufschlägt. Wer aber solange nicht warten möchte für den bestehen diverse Möglichkeiten sich das Update auch manuell auf das Device zu bügeln. Einerseits könnt ihr euch auf Googles Developer Page das passende Factory Image besorgen und es z.B. mithilfe des Nexus Root Toolkit aufspielen. Eine weitere Methode besteht in der reinen Installation des OTA Files per ADB Sideload was im Fall von Android 4.4.4 wohl mit einem Wimpernschlag erledigt ist. In meinem „Tutorial: Nexus 7 KitKat 4.4.3 – manuelle Installation des OTA-Update “KTU84L” per ADB Sideload (gilt ebenso für Nexus 4, 5 & 10) erkläre ich das Ganze für Android 4.4.3. Unter der Voraussetzung das ihr euch die richtigen OTA Files des Firmware Build KTU84P besorgt, gilt das Prozedere analog für Android 4.4.4.

Anbei habe ich euch die Links zu den aktuellen Factory Images (Build KTU48P) angefügt wobei das Factory Image für das Nexus 7 (2013) LTE noch fehlt!

Factory Images Build KTU48P

Bei den OTA Fiiles existieren aktuell nur die Quellen für die Nexus Smartphones 4 & 5 sowie das Tablet Nexus 10

OTA Files Build KTU48P

  • Nexus 5
  • Nexus 7 (2013) LTE
  • Nexus 7 (2013) Wi-Fi only
  • Nexus 4
  • Nexus 10
  • Nexus 7 (2012) 3G
  • Nexus 7 (2012) Wi-Fi only

Die Links für die fehlenden OTA Files werde ich natürlich sofort bei Bekanntwerden nachreichen. Falls ihr im Netz über eine der fehlenden OTA Links stolpert würde ich mich auf jeden Fall über eine Quellenangabe von eurer Seite freuen. Dann bleibt mir zum Schluß nur euch ein Happy Patching zu wünschen!

 

Quellen:

Google Developers

Android Schweiz

Advertisements

5 Gedanken zu “Android 4.4.4 – Bugfix Update behebt OpenSSL Sicherheitslücke, Towelroot Exploit weiter unberührt

    • Hy Tinyentropy, natürlich zweites! Obwohl der Fix in der Masse gerade mal 2,5 MB beträgt ist die Distrubutionsarchitektur von Samsung bzw. der übrigen Hersteller kaum auf den Rollout von Softwarefixes dieser Art ausgelegt. Jedes Modell und sogar deren diverse Varianten muss vor dem Update Rollout speziell angepasst werden.

      Das von Google für 2015 ins Auge gefasste Android Silver Programm bei dem Google für die Updates zuständig sein wird könnte ein erster Schritt in die richtige Richtung sein. Persönlich würde ich dann eher zu einem solchen Gerät greifen!

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s