Es war gestern überall zu lesen, zu sehen und zu hören. Die Sicherheitslücke im Android Betriebssystem von Google betrifft nämlich potenziell an die 950 Millionen Android-Nutzer. Eine satte Menge und das zeigt auch ein wenig das Problem von Android-Updates auf, welche oft nur langsam oder gar nicht mehr ausgerollt werden, je nach Hersteller des Telefons. Doch zurück zur Lücke, hier die wichtigsten Infos für euch zusammengefasst:
Was ist Stagefright?
Stagefright ist eine Systemkomponente von Android, sie ist für die Multimediaverarbeitung zuständig. Also zum Beispiel für das Abspielen eines Videos. Stagefright wird also zum Beispiel aktiv wenn man eine Nachricht mit Video erhält, zum Beispiele eine SMS mit zusätzlichen Medieninhalten (MMS). Stagefright wird je nachdem nicht erst beim Betrachten des Videos aktiv, je nach Messenger-App kann es sogar schon reichen, wenn der Nutzer die Nachricht nur aufruft, ohne das Video anzusehen.
Was macht das Sicherheitsleck?
Wie erwähnt kann man den Schadcode einem Empfänger mittels MMS zukommen lassen. je nach System und verwendeter App muss der Empfänger das Video öffnen oder gar das reine Empfangen oder die kleine Videovorschau reichen aus um den Code auszuführen. Der Absender kann die MMS auch automatisch löschen, der Empfänger kann dann nicht mehr nachvollziehen woher der Schadcode kam. Der Eindringling hat danach bei euch Zugriff auf Mediendaten, Kamera, Mikrofon oder kann noch weiteren Code ausführen lassen. Die Verbreitung durch MMS ist übrigens nur eine von vielen Möglichkeiten.
Wird bei älteren Smartphones die Lücke überhaupt noch geschlossen?
Wer ist betroffen?
Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind. Die Lücke ist so tief im Android-System verankert, dass erst ein System-Update Abhilfe schaffen kann.
Was kann ich tun?
Vorerst gar nichts. Man ist der Sicherheitslücke schutzlos ausgeliefert, man muss auf das oben erwähnte Update warten. Hier kommt die eingangs erwähnte Problematik von Updates bei Android ins Spiel. Sobald Google den Patch anbietet, müssen Hersteller wie HTC, Sony, Lenovo, Motorola, Samsung, Sony und so weiter diesen erst für ihre Android-Smartphones bereitstellen. Das gilt dann natürlich auch noch für ältere Smartphones von den Herstellern, welche teils schon länger keien Updates mehr erhalten.
Wer sich mit der Materie etwas auskennt, die Drittanbieter-Firmware CyanogenMod ist schon seit einiger Zeit mit den relevanten Patches ausgestattet. Das zumindest in den instabilen Builds mit den folgenden Datenbank-Nummern: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829
Anteil der verschiedenen Android-Versionen an allen Geräten mit Android OS weltweit im Zeitraum 26. Mai bis 01. Juni 2015
Fazit
Eine hässliche Sache und ich hoffe dass damit nicht zuviel Schaden angerichtet wird. Für mich bleibt die grosse Frage ob Hersteller für Smartphones die älter sind als 2 Jahre überhaupt noch ein Update ausliefern. Ich wage es etwas zu bezweifeln und das würde die Sicherheitslücke noch in Millionen von Smartphones offen halten. Wer also selbst nicht Hand anlegen kann und will und auf CyanogenMod wechseln kann, der muss wohl oder übel mit der Lücke leben oder sich ein neues Smartphone kaufen.