Sicherheitslücke Stagefright Google kündigt monatliche Android-Updates an

Android soll sicherer werden. Nachdem mehrere bedrohliche Sicherheitslücken in Googles Handy-Betriebssystem entdeckt wurden, wird es jeden Monat ein Update geben - aber nicht für alle.
Sicherheitslücke Stagefright: Mahnung zu schnelleren Android-Updates

Sicherheitslücke Stagefright: Mahnung zu schnelleren Android-Updates

Foto: Zimperium

Als er über die anstehende Veröffentlichung des neuesten Android-Updates sprach, fielen Adrian Ludwig nur Superlative ein. Es sei wohl "das größte Software-Update, das es gegeben hat", sagte der Google-Manager auf der IT-Sicherheitskonferenz Black Hat in Las Vegas . Und außerdem eines, das dringend verteilt werden muss.

Zur Erinnerung: Ende Juni hatte die Sicherheitsfirma Zimperium eine Schwachstelle veröffentlicht, die es Hackern ermöglicht, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Die Telekom schätzt die Gefahr als so schwerwiegend ein, dass sie die automatische Zustellung von MMS-Nachrichten vorläufig abgeschaltet hat .

Die Entdecker bezeichneten ihren Fund gar als "Mutter aller Android-Schwachstellen", weil 95 Prozent aller Android-Nutzer mit der Methode angegriffen werden könnten. Potenziell sind damit Hunderte Millionen User gefährdet.

Die Lücke ist seit Monaten bekannt

Gleichzeitig zeigte sich ein lange bekanntes Android-Problem, die sogenannte Fragmentierung. Gemeint ist damit, dass Software-Updates oft sehr lange brauchen, um von Google bis zu den Verbrauchern vorzudringen. Die aktuelle Android-Version 5.0, Lollipop, beispielsweise, ist demnach derzeit erst auf 18 Prozent der Android-Geräte installiert . Apples iOS 8.4 hingegen läuft bereits auf 85 Prozent alles iPhones und iPads.

Der Grund für den Unterschied: Apple kann Software-Updates direkt an die Nutzer seiner Geräte verteilen, Google ist auf die Handyhersteller angewiesen. Diese müssen Updates an das jeweilige Gerät anpassen und testen, was meist länger dauert. Das Resultat: Obwohl Zimperium die Sicherheitslücke schon im April an Google gemeldet, Google ein Update entwickelt und an die Hersteller geschickt hat, hatte laut der Wirtschaftszeitung "Forbes" bis Ende Juli hat noch kein einziger Hardware-Hersteller die Sicherheitslücke geschlossen.

Erstmal nur für Nexus

Genau das soll sich jetzt ändern. Ab sofort werde man jeden Monat ein Update verteilen, kündigte Adrian Ludwig am Mittwoch per Blogpost  an. Das erste davon, das auch die gefürchtete Stagefright-Lücke schließt, wird seit dem 5. August ausgeliefert. Allerdings beziehen sich Ludwigs Äußerungen wiederum nur auf Google-Geräte der Nexus-Reihe, konkret Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player.

Dabei soll es aber nicht bleiben. Auf der Black-Hat-Konferenz kündigte Ludwig an, das Update werde auch von Samsung, Motorola, HTC, LG, Sony, Android One und vielen weiteren Herstellern verbreitet werden. Konkrete Termine nannte er dafür aber nicht.

Samsung und LG wollen mitmachen, irgendwie

Immerhin zwei wichtige Hersteller kündigten bereits an, Googles neuer Updatepolitik folgen zu wollen. Samsung etwa will in Zukunft schneller auf Bedrohungen reagieren, und "regelmäßig, ungefähr einmal pro Monat " Updates für seine Geräte verteilen. Auch hier werden aber keine konkreten Termine genannt.

Das Problem: Jedes von Samsung angebotene Update muss beispielsweise erst von den Mobilfunkanbietern getestet und zertifiziert werden, bevor es veröffentlicht werden darf. Ein Prozess, der oft sehr aufwendig und langsam ist. Genau das versucht der Konzern offenbar gerade zu ändern und spricht davon, man sei "in Gesprächen mit Netzanbietern in aller Welt, um den neuen Ansatz einzuführen."

Konkurrent LG formuliert es etwas anders: Man habe damit begonnen, die Stagefright-Updates für seine Geräte auszuliefern und wolle ebenfalls künftig monatliche Updates anbieten, "welche die Netzbetreiber ihren Kunden dann sofort anbieten können ."

So können Sie sich ein bisschen schützen

So richtig ausgegoren ist Googles Update-Plan also noch nicht. Wer sichergehen will, immer als erster neue Systemversionen und Updates zu bekommen, bleibt bei Android vorläufig weiter auf Googles Nexus-Geräte angewiesen. Zu hoffen ist, dass Samsung und LG es tatsächlich schaffen werden, ebenfalls auf das System aufzuspringen und ihre Geräte künftig im Monatsrhythmus mit Neuerungen versorgen zu können.

Bis dahin sollten Android-Nutzer sich so gut es geht selbst schützen. Zu allererst gilt es dafür, den MMS-Empfang einzuschränken. Dazu ruft man die Einstellungen der SMS/MMS-App auf und entfernt dort unter Automatisch abrufen das Häkchen. In Googles Hangout-App findet man die entsprechende Funktion unter SMS/Einstellungen/Erweitert.

Stagefright Detector: Wissen, ob man betroffen ist

Stagefright Detector: Wissen, ob man betroffen ist

Foto: SPON

Vollkommener Schutz gegen die Stagefright-Lücke ist aber auch damit nicht gegeben. Verschiedene Apps, wie etwa der Stagefright Detector  von Lookout, geben Auskunft darüber, ob die Schwachstelle auf einem Gerät noch vorhanden ist. Wer die Bedrohung damit aufspürt, sollte regelmäßig in den Einstellungen unter Über das Telefon nach Updates suchen.

Je nach Modell und Hersteller kann es aber noch einige Zeit dauern, bis der entsprechende Fix verfügbar sein wird. Etliche Unternehmen haben nicht so schnell auf Googles Ankündigung reagiert wie Samsung und LG.

mak
Die Wiedergabe wurde unterbrochen.