Sicherheitslücke Stagefright Google kündigt monatliche Android-Updates an

Android soll sicherer werden. Nachdem mehrere bedrohliche Sicherheitslücken in Googles Handy-Betriebssystem entdeckt wurden, wird es jeden Monat ein Update geben - aber nicht für alle.

Sicherheitslücke Stagefright: Mahnung zu schnelleren Android-Updates
Zimperium

Sicherheitslücke Stagefright: Mahnung zu schnelleren Android-Updates


Als er über die anstehende Veröffentlichung des neuesten Android-Updates sprach, fielen Adrian Ludwig nur Superlative ein. Es sei wohl "das größte Software-Update, das es gegeben hat", sagte der Google-Manager auf der IT-Sicherheitskonferenz Black Hat in Las Vegas. Und außerdem eines, das dringend verteilt werden muss.

Zur Erinnerung: Ende Juni hatte die Sicherheitsfirma Zimperium eine Schwachstelle veröffentlicht, die es Hackern ermöglicht, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Die Telekom schätzt die Gefahr als so schwerwiegend ein, dass sie die automatische Zustellung von MMS-Nachrichten vorläufig abgeschaltet hat.

Die Entdecker bezeichneten ihren Fund gar als "Mutter aller Android-Schwachstellen", weil 95 Prozent aller Android-Nutzer mit der Methode angegriffen werden könnten. Potenziell sind damit Hunderte Millionen User gefährdet.

Die Lücke ist seit Monaten bekannt

Gleichzeitig zeigte sich ein lange bekanntes Android-Problem, die sogenannte Fragmentierung. Gemeint ist damit, dass Software-Updates oft sehr lange brauchen, um von Google bis zu den Verbrauchern vorzudringen. Die aktuelle Android-Version 5.0, Lollipop, beispielsweise, ist demnach derzeit erst auf 18 Prozent der Android-Geräte installiert. Apples iOS 8.4 hingegen läuft bereits auf 85 Prozent alles iPhones und iPads.

Der Grund für den Unterschied: Apple kann Software-Updates direkt an die Nutzer seiner Geräte verteilen, Google ist auf die Handyhersteller angewiesen. Diese müssen Updates an das jeweilige Gerät anpassen und testen, was meist länger dauert. Das Resultat: Obwohl Zimperium die Sicherheitslücke schon im April an Google gemeldet, Google ein Update entwickelt und an die Hersteller geschickt hat, hatte laut der Wirtschaftszeitung "Forbes" bis Ende Juli hat noch kein einziger Hardware-Hersteller die Sicherheitslücke geschlossen.

Erstmal nur für Nexus

Genau das soll sich jetzt ändern. Ab sofort werde man jeden Monat ein Update verteilen, kündigte Adrian Ludwig am Mittwoch per Blogpost an. Das erste davon, das auch die gefürchtete Stagefright-Lücke schließt, wird seit dem 5. August ausgeliefert. Allerdings beziehen sich Ludwigs Äußerungen wiederum nur auf Google-Geräte der Nexus-Reihe, konkret Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player.

Dabei soll es aber nicht bleiben. Auf der Black-Hat-Konferenz kündigte Ludwig an, das Update werde auch von Samsung, Motorola, HTC, LG, Sony, Android One und vielen weiteren Herstellern verbreitet werden. Konkrete Termine nannte er dafür aber nicht.

Samsung und LG wollen mitmachen, irgendwie

Immerhin zwei wichtige Hersteller kündigten bereits an, Googles neuer Updatepolitik folgen zu wollen. Samsung etwa will in Zukunft schneller auf Bedrohungen reagieren, und "regelmäßig, ungefähr einmal pro Monat" Updates für seine Geräte verteilen. Auch hier werden aber keine konkreten Termine genannt.

Das Problem: Jedes von Samsung angebotene Update muss beispielsweise erst von den Mobilfunkanbietern getestet und zertifiziert werden, bevor es veröffentlicht werden darf. Ein Prozess, der oft sehr aufwendig und langsam ist. Genau das versucht der Konzern offenbar gerade zu ändern und spricht davon, man sei "in Gesprächen mit Netzanbietern in aller Welt, um den neuen Ansatz einzuführen."

Konkurrent LG formuliert es etwas anders: Man habe damit begonnen, die Stagefright-Updates für seine Geräte auszuliefern und wolle ebenfalls künftig monatliche Updates anbieten, "welche die Netzbetreiber ihren Kunden dann sofort anbieten können."

So können Sie sich ein bisschen schützen

So richtig ausgegoren ist Googles Update-Plan also noch nicht. Wer sichergehen will, immer als erster neue Systemversionen und Updates zu bekommen, bleibt bei Android vorläufig weiter auf Googles Nexus-Geräte angewiesen. Zu hoffen ist, dass Samsung und LG es tatsächlich schaffen werden, ebenfalls auf das System aufzuspringen und ihre Geräte künftig im Monatsrhythmus mit Neuerungen versorgen zu können.

Bis dahin sollten Android-Nutzer sich so gut es geht selbst schützen. Zu allererst gilt es dafür, den MMS-Empfang einzuschränken. Dazu ruft man die Einstellungen der SMS/MMS-App auf und entfernt dort unter Automatisch abrufen das Häkchen. In Googles Hangout-App findet man die entsprechende Funktion unter SMS/Einstellungen/Erweitert.

Stagefright Detector: Wissen, ob man betroffen ist
SPON

Stagefright Detector: Wissen, ob man betroffen ist

Vollkommener Schutz gegen die Stagefright-Lücke ist aber auch damit nicht gegeben. Verschiedene Apps, wie etwa der Stagefright Detector von Lookout, geben Auskunft darüber, ob die Schwachstelle auf einem Gerät noch vorhanden ist. Wer die Bedrohung damit aufspürt, sollte regelmäßig in den Einstellungen unter Über das Telefon nach Updates suchen.

Je nach Modell und Hersteller kann es aber noch einige Zeit dauern, bis der entsprechende Fix verfügbar sein wird. Etliche Unternehmen haben nicht so schnell auf Googles Ankündigung reagiert wie Samsung und LG.

mak

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
Seite 1
Donald Knapp 06.08.2015
1. Daher setze ich auf Windows......
...da gibts ein klares Management für Updates und ebenso diese zentralisiert in riesigen Unternehmensstrukturen auszurollen. Sicherheislücken die es überall geben kann lassen sich immer zeitnah schließen.
Dumme Fragen 06.08.2015
2. Da hilft nur eins:
Google muß Android von den Geräteherstellern unabhängiger machen. Windows oder Linux laufen ja auch auf diversen Geräten vieler verschiedener Hersteller. Das Grundsystem ist immer das selbe, es kommen halt die individuellen Treiber für die Hardware dazu. Da die aber beim Handy im Auslieferungszustand schon dabei sind, sollte es nicht so schwer sein, das OS im Hintergrund aktuell zu halten. Eher ist das Problem, dass die Hersteller das nicht wollen, um neue Geräte zu verkaufen... Aber da muß halt der Gesetzgeber eingreifen! Z.B. könnte er von den Providern verlangen, dass Geräte ohne aktuelles System nicht mehr ins Netz dürfen. Wenn dann automatisch Millionen Geräte rausfliegen, werden sich die Kunden schon kümmern...
Reiner_Habitus 06.08.2015
3.
Googles Idee Sicherheitsfixes durch Smartphonehersteller zu verteilen darf getrost als völlig gescheitert angesehen werden. Das Konzept funktioniert nicht. Wie es hingegen richtig geht zeigen Apple und Microsoft. Die sind den einzig gangbaren Weg gegangen und behalten die Hoheit über die Software und die Updatepfade........
TS_Alien 06.08.2015
4.
Solange die Smartphone- oder Tablet-Hersteller kein Standard-Android verwenden, bringen einem diese Updates nichts. Denn man muss immer noch monatelang auf die Updates für das eigene Smartphone oder Tablet warten. Oder noch schlimmer: für das eigene Gerät gibt es kein Update. Wer auch immer auf die Idee gekommen ist, das Betriebssystem Android an die eigene Hardware anzupassen, hat keine Ahnung, wie man ein Gerät kundenfreundlich und für einen längeren Betrieb gestaltet.
Vasallenrepublik 06.08.2015
5.
Ist das eine reale Bedrohung? Wer nutzt in Zeiten der Volumenvertraege noch MMS'n? Ich hab seit Ewigkeiten keinem meiner Phones den automatischen Download von MMS'n erlaubt. Alte Angewohnheit aus der Brick-phone Zeit, als der Empfang noch generell Geld gekostet hat.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.