Android-Sicherheitslücke: Googles Stagefright-Patch ist fehlerhaft

Einer der von Google verteilten Stagefright-Patches sei fehlerhaft, berichten die Sicherheitsexperten von Exodus Intelligence. So lange der betreffende Patch nicht korrigiert werde, seien Android-Systeme weiterhin angreifbar. Insgesamt hatte Google sechs Sicherheits-Patches veröffentlicht, um alle Stagefright-Angriffsmöglichkeiten zu verhindern. Einer der Patches schützt Systeme aber nicht vor weiteren Angriffen.

Nexus-Besitzer müssen auf korrigierten Patch warten

Google hat den Patch bereits korrigiert und an Gerätehersteller weitergereicht. Bis es den Patch für Besitzer eines Nexus-Gerätes geben wird, dauert es aber noch. Google wolle den überarbeiteten Patch erst im September 2015 veröffentlichen, zitiert unter anderem The Verge eine Google-Stellungnahme. Wann andere Hersteller von Android-Geräten die notwendigen Patches zur Beseitigung der Stagefright-Sicherheitslücke auch in der überarbeiteten Version veröffentlichen werden, ist nicht bekannt. Einzig für Cyanogenmod wurde ein Update bis Ende des Monats versprochen, dann soll auch der fehlerhafte Patch ausgetauscht sein.

Exodus Intelligence hatte den Fehler im Patch am 7. August 2015 bemerkt und Google umgehend informiert - und jetzt die Öffentlichkeit darüber in Kenntnis gesetzt. Üblicherweise wird Herstellern eine deutlich längere Zeitspanne eingeräumt, um ein gefundenes Sicherheitsloch zu beseitigen. Exodus hat sich aber anders entschieden, weil der fehlerhafte Patch im direkten Zusammenhang mit der Sicherheitslücke stehe, über die Google bereits seit Monaten informiert sei.

Fehlerhafter Patch wird weiter verteilt

Außerdem sorgt sich das Unternehmen, dass Google den fehlerhaften Patch trotz der Warnung durch Exodus Intelligence weiter verteilt. Dadurch würden Kunden in trügerischer Sicherheit gewogen, das Sicherheitsloch sei geschlossen. Das Unternehmen zeigt sich auch verärgert darüber, dass Google von sich aus keinen Zeitplan genannt hat, wann der korrigierte Patch erscheinen werde.

Darüber hinaus konnte die Stagefright Detector App von Zimperium noch nicht aktualisiert werden. Derzeit gibt die App noch vor, dass ein System geschützt sei, wenn die aktuellen Patches installiert sind. Exodus Intelligence arbeite mit Zimperium daran, den fehlerhaften Patch als solchen zu erkennen.

Hersteller wollen monatliche Sicherheits-Patches einführen

Von der Sicherheitslücke sind alle Systeme ab Android 2.2 betroffen. Auf Geräte mit Android 4.1 oder einer neueren Version wirkt sich der Fehler nicht so stark aus, hier werden einige Angriffe automatisch abgewehrt. Bis Android 4.1 genügt bereits der Empfang einer MMS, um Opfer eines Angriffs zu werden. Auf aktuelleren Systemen muss der Nutzer aktiv werden, damit sich die Sicherheitslücke ausnutzen lässt.

Google, Samsung und LG haben als Reaktion auf die Stagefright-Lücke angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Vergleichbare Schritte gibt es von Sony, Motorola, HTC oder Huawei bislang nicht.