Die gravierende Sicherheitslücke Stagefright für Android, die seit einigen Tagen bekannt ist, erzwingt jetzt anscheinend das, was im Android-Lager seit Jahren fehlt: eine konsistente Update-Politik. Erste Schritte dahin sind zumindest unternommen.

Stagefright: Eine gravierende Sicherheitslücke in Android
Stagefright: Eine gravierende Sicherheitslücke in Android

Stagefright: Kurzübersicht

Stagefright ist eine Sicherheitslücke, die praktisch alle Android-Geräte betrifft. Über manipulierte Videos, die per MMS oder über Webseiten und andere Wege auf das Gerät gelangen, kann teils automatisch ohne Zutun des Besitzers des Geräts, teils beim Abspielen der Datei beliebiger Code ausgeführt werden, was letztendlich die völlige Übernahme des Geräts bedeuten kann. Die Telekom hat bereits reagiert, indem die Übertragung von MMS vorerst gestoppt wurde. Google ändert seine Apps dahingehend, dass eine automatische Verarbeitung der manipulierten Videos und damit des Schadcodes zumindest nicht mehr durchgeführt wird.

Eine russische Quelle verkauft bereits einen Exploit der Sicherheitslücke, also ist damit zu rechnen, dass entsprechende Schädlinge bald auftauchen werden.

Das Update-Dilemma

Einer der Schwachpunkte von Android ist seine Fragmentierung. Android ist ein offeneres System als iOS oder Windows Phone, indem es den Herstellern von Handys und den Anbietern von Mobilfunktarifen weitgehende Möglichkeiten gibt, das System zu ändern. Letztendlich ist ein beispielweise von Samsung stammendes Handy zwar mit Android von Google ausgestattet, für die Systemversion und -aktualisierung ist dann aber Samsung verantwortlich, und der Tarif-Anbieter hat zumindest bei gesponsorten Geräten auch noch ein Wörtchen mitzureden.

In der Praxis führt diese Situation dazu, dass Updates nur schleppend, wenn überhaupt, die Telefone erreichen. Ein Update ist kostenlos. Dementsprechend hat der Hersteller nur ein geringes Interesse an einer Update-Verteilung. Lieber ist ihm der Verkauf eines neuen Gerätes.

Stagefright ist jetzt aber so gefährlich, dass die Hersteller zum Umdenken gezwungen werden. Google und Samsung haben angekündigt, einen monatlichen Patchday einzuführen. Dementsprechend werden die von Google selbst betreuten Nexus-Geräte sowie die Geräte von Samsung in Zukunft regelmäßig Sicherheitsupdates bekommen, und zwar für einen definierten Zeitraum während und nach dem offiziellen Verkauf des jeweiligen Gerätetyps. Der genaue Start und jeweilige Zeitraum steht noch nicht endgültig fest.

Alcatel hat bereits Updates für das One Touch 3 Idol angekündigt. Auch Motorola arbeitet an Patches und will die aktuellen Neugeräte gleich in gepatchtem Zustand ausliefern. Die noch ausstehenden Lollipop-Updates sollen gepatcht ausgeliefert werden, die bereits ausgerollten Updates sollen nachgebessert werden.

Update: Motorola hat Updates für alle Geräte seit 2013 angekündigt. Diese werden an die zuständigen Provider verteilt.

Hoffentlich macht das Beispiel von Google und Samsung Schule, so dass alle Hersteller regelmäßige Sicherheitsupdates für definierte Zeiträume anbieten werden. Letztendlich ist ein so gewährleisteter Support schließlich auch ein Verkaufsargument.

War dieser Beitrag für Sie nützlich? [thumbs-rating-buttons]

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert