Dirty Pipe Fix: Samsung implementiert Google-Code schneller als Google

Dirty Pipe ist eine der schwerwiegendsten Schwachstellen im Linux-Kernel der letzten Jahre. Der Fehler ermöglicht es einem nicht privilegierten Benutzer, schreibgeschützte Daten zu überschreiben, was zu einer Rechteausweitung führen kann. Der Fehler wurde am 19. Februar behoben und für Linux-Versionen wie Unbuntu wurde innerhalb von etwa 17 Tagen ein Patch geschrieben und für Endbenutzer freigegeben. Android basiert auf Linux, daher müssen auch Google und Android-Hersteller den Fehler beheben.

Seit der Veröffentlichung des Linux-Desktops ist ein ganzer Monat vergangen. Wie läuft es also mit Android?

Laut einer Zeitleiste von Max Kellermann, dem Forscher, der die Schwachstelle entdeckt hat, hat Google Dirty Pipe am 23. Februar in der Android-Codebasis gepatcht. Aber das Android-Ökosystem ist bekanntermaßen schlecht darin, Benutzern aktualisierten Code bereitzustellen. In gewisser Weise hat die Langsamkeit von Android bei dieser Schwachstelle geholfen. Der Fehler trat in Linux 5.8 auf, das im August 2020 veröffentlicht wurde. Warum hat sich der Fehler in den letzten zwei Jahren nicht weit über das Android-Ökosystem verbreitet?

Die Linux-Unterstützung in Android ist erst mit der Veröffentlichung von Android 12 vor sechs Monaten von 5.4 auf 5.10 gestiegen, und Android-Telefone springen normalerweise nicht von den Hauptkernel-Versionen auf. Nur neue Telefone erhalten den neuesten Kernel und verwenden dann in der Regel kleinere, langfristige Support-Updates, bis sie außer Betrieb genommen werden.

Die langsame Einführung des Android-Kernels bedeutet, dass der Fehler nur neue 2022-Telefone betrifft, also Geräte mit 5.10-Kernel wie Google Pixel 6, Samsung Galaxy S22 und OnePlus 10 Pro. Die Schwachstelle wurde bereits in einen funktionierenden Exploit mit Root-Rechten für Pixel 6 und S22 umgewandelt.

Das Unternehmen hat unsere (oder andere) Fragen zu dem, was mit dem Patch passiert ist, nicht beantwortet, aber man kann davon ausgehen, dass das Pixel 6 das Problem inzwischen behoben hat. Da es sich um ein Google-Telefon mit einem Google-Chip handelt, auf dem das Google-Betriebssystem läuft, sollte das Unternehmen in der Lage sein, schnell ein Update bereitzustellen. Nachdem der Fix Ende Februar in der Codebasis angekommen war, konnten viele ROMs von Drittanbietern wie GrapheneOS den Fix Anfang März integrieren.

Es sieht so aus, als ob Samsung mit der Veröffentlichung eines Patches Google wirklich einen Schritt voraus war. Samsung listet in seinem eigenen Sicherheitsbulletin einen Fix für CVE-2022-0847 auf und weist darauf hin, dass der Fix für das Galaxy S22 gilt. Samsung unterteilt die Schwachstellen in Android-Bugs und Samsung-Bugs und berichtet, dass CVE-2022-0847 im Android-Sicherheitsbulletin von Google vom April enthalten ist, obwohl dies nicht stimmt. Entweder hat sich Samsung für einen Fix entschieden und ihn nicht in seinem Bulletin aufgeführt, oder Google hat den Fix in letzter Minute vom Pixel 6 entfernt.

Der Patch wurde vor 40 Tagen im Android-Quellcode-Repository veröffentlicht. Da der Fehler nun öffentlich und für jedermann zugänglich ist, scheint es, als müsste Google schneller handeln, um eine Lösung bereitzustellen.