30. Juli 2015
3 Minuten zu lesen

Android Stagefright-Sicherheitslücke und was du darüber wissen musst

Sony Xperia Z1Es war gestern überall zu lesen, zu sehen und zu hören. Die Sicherheitslücke im Android Betriebssystem von Google betrifft nämlich potenziell an die 950 Millionen Android-Nutzer. Eine satte Menge und das zeigt auch ein wenig das Problem von Android-Updates auf, welche oft nur langsam oder gar nicht mehr ausgerollt werden, je nach Hersteller des Telefons. Doch zurück zur Lücke, hier die wichtigsten Infos für euch zusammengefasst:

Was ist Stagefright?

Stagefright ist eine Systemkomponente von Android, sie ist für die Multimediaverarbeitung zuständig. Also zum Beispiel für das Abspielen eines Videos. Stagefright wird also zum Beispiel aktiv wenn man eine Nachricht mit Video erhält, zum Beispiele eine SMS mit zusätzlichen Medieninhalten (MMS). Stagefright wird je nachdem nicht erst beim Betrachten des Videos aktiv, je nach Messenger-App kann es sogar schon reichen, wenn der Nutzer die Nachricht nur aufruft, ohne das Video anzusehen.

Was macht das Sicherheitsleck?

Wie erwähnt kann man den Schadcode einem Empfänger mittels MMS zukommen lassen. je nach System und verwendeter App muss der Empfänger das Video öffnen oder gar das reine Empfangen oder die kleine Videovorschau reichen aus um den Code auszuführen. Der Absender kann die MMS auch automatisch löschen, der Empfänger kann dann nicht mehr nachvollziehen woher der Schadcode kam. Der Eindringling hat danach bei euch Zugriff auf Mediendaten, Kamera, Mikrofon oder kann noch weiteren Code ausführen lassen. Die Verbreitung durch MMS ist übrigens nur eine von vielen Möglichkeiten.

Wird bei älteren Smartphones die Lücke überhaupt noch geschlossen?

Wird bei älteren Smartphones die Lücke überhaupt noch geschlossen?

Wer ist betroffen?

Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind. Die Lücke ist so tief im Android-System verankert, dass erst ein System-Update Abhilfe schaffen kann.

Was kann ich tun?

Vorerst gar nichts. Man ist der Sicherheitslücke schutzlos ausgeliefert, man muss auf das oben erwähnte Update warten. Hier kommt die eingangs erwähnte Problematik von Updates bei Android ins Spiel. Sobald Google den Patch anbietet, müssen Hersteller wie HTC, Sony, Lenovo, Motorola, Samsung, Sony und so weiter diesen erst für ihre Android-Smartphones bereitstellen. Das gilt dann natürlich auch noch für ältere Smartphones von den Herstellern, welche teils schon länger keien Updates mehr erhalten.

 

Wer sich mit der Materie etwas auskennt, die Drittanbieter-Firmware CyanogenMod ist schon seit einiger Zeit mit den relevanten Patches ausgestattet. Das zumindest in den instabilen Builds mit den folgenden Datenbank-Nummern: CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829

Anteil der verschiedenen Android-Versionen an allen Geräten mit Android OS weltweit im Zeitraum 26. Mai bis 01. Juni 2015

Anteil der verschiedenen Android-Versionen an allen Geräten mit Android OS weltweit im Zeitraum 26. Mai bis 01. Juni 2015

Fazit

Eine hässliche Sache und ich hoffe dass damit nicht zuviel Schaden angerichtet wird. Für mich bleibt die grosse Frage ob Hersteller für Smartphones die älter sind als 2 Jahre überhaupt noch ein Update ausliefern. Ich wage es etwas zu bezweifeln und das würde die Sicherheitslücke noch in Millionen von Smartphones offen halten. Wer also selbst nicht Hand anlegen kann und will und auf CyanogenMod wechseln kann, der muss wohl oder übel mit der Lücke leben oder sich ein neues Smartphone kaufen.

2 Comments

  1. Luz

    Geräte, die älter als 2 Jahre sind werden effektiv meistens nicht mehr mit einem Update beglückt, da einfach die Hardware schon zu ‹alt› dafür ist. Ich bin glücklich, den mein CustomROM deckt diese Lücke bereits ab. So oder so empfehle ich nach Ablauf der 2-jährigen Garantie ein Update via CustomROM – egal welches Gerät…

    LG Luz

    PS: 1 Absatz, letzter Satz – «Doch zurück…»

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .

Hat Ihnen der Artikel gefallen? Bitte teilen Sie Ihre Gedanken mit anderen.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verarbeitet werden .