Im dritten Security Bulletin für Android in diesem Jahr führt Google insgesamt 38 Sicherheitslücken auf, die Smartphone-Hersteller durch entsprechenden Updates schließen sollten.
Am ersten Montag eines Monats veröffentlicht Google sein Android Security Bulletin mit einer meist langen Liste neuer Sicherheitslücken. Im März sind es insgesamt 39 Schwachstellen in Android 8.1 bis 11, die im Quellcode des Betriebssystems behoben worden sind. Nun ist es an den Geräteherstellern, angepasste Sicherheits-Updates an die Kunden auszuliefern. Samsung beispielsweise will vier Jahre lang Android-Sicherheits-Updates für Galaxy-Geräte bereit stellen. Für das Patch-Level 2021-03-01 führt Google zehn Sicherheitslücken auf, darunter mit CVE-2021-0397 eine, die als kritisch eingestuft ist. Diese Schwachstelle steckt im System-Bereich und kann es einem Angreifer ermöglichen, aus der Ferne Code einzuschleusen und mit höheren Rechten auszuführen. Dazu bedarf es einer speziell gestalteten Datenübertragung, über deren Natur Google keine Angaben macht. Alle anderen Lücken gelten als hohes Risiko. Über Google Play liefert Google einen Patch aus, der eine Sicherheitslücke (CVE-2021-0390) in der WLAN-Komponente behebt. Google verlagert mit jeder neuen Android-Version mehr Komponenten in das so genannte Project Mainline , um Sicherheits-Updates dafür unabhängig von den Hardware-Herstellern verteilen zu können. ➤ Die neuesten Sicherheits-Updates
Für das Patch-Level 2021-03-05 enthält das Security Bulletin eine Liste mit 27 Schwachstellen, die meist bestimmte Hardware-Komponenten und deren Treiber betreffen. Mit einer Ausnahme sind dies im März Komponenten des Chip-Herstellers Qualcomm. Fünf Lücken sind als kritisch eingestuft und stecken in Closed-Source-Komponenten, über die nichts weiter zu erfahren ist. Samsung stellt bereits entsprechende Updates für aktuelle Spitzenmodelle wie die Galaxy S20- und S21-Serie bereit, andere Geräte erhalten erst später ein Update. Hersteller wie Nokia (HMD Global) oder Motorola (Lenovo), die am Programm Android One teilnehmen und sich damit zur Bereitstellung von Sicherheits-Updates verpflichtet haben, werden im Laufe des Monats liefern. Viele Android-Geräte werden jedoch nie ein Sicherheits-Update erhalten, auch wenn die Situation inzwischen besser ist als noch vor wenigen Jahren. Für die eigenen Pixel-Smartphones stellt Google die Sicherheits-Updates zeitnah bereit, einschließlich Geräte-spezifischer Bug-Fixes und Funktionserweiterungen („Feature Drop“). Der sechste Feature Drop bringt etwa Verbesserungen für den Audio-Recorder, ermöglicht (mit geeignetem Gehäuse) Kameraaufnahmen unter Wasser und liefert neue Hintergrundbilder.
