Das Gegenteil von gut ist gut gemeint. Nachdem Google einen Stagefright-Patch für die Nexus-Geräte veröffentlicht und diesen an die Hersteller weitergegeben hat, stellt sich nun heraus, dass dieser die Sicherheitslücke gar nicht schließt.
Auch interessant: Smartwatches weisen laut HP-Studie durch die Bank Sicherheitslücken auf
Eine Sicherheitslücke in der Android-Medienbibliothek Stagefright ermöglicht es Angreifern, über MMS-Nachrichten gefährlichen Programm-Code in das Smartphone einzuschleusen. (Grafik: Zimperium)
Der Name Stagefright verbreitet derzeit im Android-Land Angst und Schrecken. Mit einer manipulierten MMS kann ein Hacker Zugriff auf das System eines Android-Gerätes erhalten. Der Nutzer muss die Nachricht dabei nicht einmal öffnen, da sich der schadhafte Code ganz alleine ausführt. Und das erschreckendste: Von Stagefright sind rund 950 Millionen Android-Geräte betroffen, also rund 90 Prozent aller Geräte weltweit.
Google hat zwar schnell reagiert und die Sicherheitslücke mit einem Patch geschlossen, doch gibt es einige Probleme. Zunächst die Update-Problematik – Google hat die Nexus-Geräte zwar schon mit dem Patch versorgt und diesen auch an die Hersteller weitergegeben, allerdings liegt es an ihnen, Updates an die Geräte zu senden. Viele ältere Geräte werden dabei wohl, trotz der Ankündigung regelmäßiger Sicherheitsupdates, auf der Strecke bleiben. Doch ein weiteres, noch viel größeres Problem ergibt sich aus der Tatsache, dass nun Forscher von Exodus Intelligence herausgefunden haben, dass der Patch von Google die Sicherheitslücke gar nicht schließt. Gegenüber Engadget erklärten sie, dass der Code von Google fehlerhaft sei und sich die Sicherheitslücke immer noch ausnutzen lässt.
Google hat, trotz der extrem kurzen Vorwarnfrist von nur 6 Tagen, unheimlich schnell reagiert und den Patch gepatcht. Nexus-Geräte werden ihn mit dem monatlichen Sicherheitsupdate im September erhalten. Wie die Hersteller nun allerdings darauf reagieren, ist noch unklar.
Stagefright ist insgesamt also dank der verhunzten Update-Politik von Google deutlich schwerer zu beseitigen als ohnehin schon befürchtet. Als Android-Nutzer sollte man sich also vorsichtig verhalten und sicherheitshalber den automatischen Download von MMS deaktivieren. Einen Nachteil dürfte dadurch kaum jemand haben, denn mal ganz ehrlich, wer nutzt denn heutzutage überhaupt noch MMS?
Quelle: Exodus Intelligence (via Engadget)
