Android-Sicherheitslücke: Googles Stagefright-Patch ist fehlerhaft
Einer der von Google verteilten Stagefright-Patches sei fehlerhaft, berichten die Sicherheitsexperten von Exodus Intelligence(öffnet im neuen Fenster). So lange der betreffende Patch nicht korrigiert werde, seien Android-Systeme weiterhin angreifbar. Insgesamt hatte Google sechs Sicherheits-Patches veröffentlicht, um alle Stagefright-Angriffsmöglichkeiten zu verhindern. Einer der Patches schützt Systeme aber nicht vor weiteren Angriffen.
Nexus-Besitzer müssen auf korrigierten Patch warten
Google hat den Patch bereits korrigiert und an Gerätehersteller weitergereicht. Bis es den Patch für Besitzer eines Nexus-Gerätes geben wird, dauert es aber noch. Google wolle den überarbeiteten Patch erst im September 2015 veröffentlichen, zitiert unter anderem The Verge(öffnet im neuen Fenster) eine Google-Stellungnahme. Wann andere Hersteller von Android-Geräten die notwendigen Patches zur Beseitigung der Stagefright-Sicherheitslücke auch in der überarbeiteten Version veröffentlichen werden, ist nicht bekannt. Einzig für Cyanogenmod wurde ein Update bis Ende des Monats(öffnet im neuen Fenster) versprochen, dann soll auch der fehlerhafte Patch ausgetauscht sein.
Exodus Intelligence hatte den Fehler im Patch am 7. August 2015 bemerkt und Google umgehend informiert – und jetzt die Öffentlichkeit darüber in Kenntnis gesetzt. Üblicherweise wird Herstellern eine deutlich längere Zeitspanne eingeräumt, um ein gefundenes Sicherheitsloch zu beseitigen. Exodus hat sich aber anders entschieden, weil der fehlerhafte Patch im direkten Zusammenhang mit der Sicherheitslücke stehe, über die Google bereits seit Monaten informiert sei.
Fehlerhafter Patch wird weiter verteilt
Außerdem sorgt sich das Unternehmen, dass Google den fehlerhaften Patch trotz der Warnung durch Exodus Intelligence weiter verteilt. Dadurch würden Kunden in trügerischer Sicherheit gewogen, das Sicherheitsloch sei geschlossen. Das Unternehmen zeigt sich auch verärgert darüber, dass Google von sich aus keinen Zeitplan genannt hat, wann der korrigierte Patch erscheinen werde.
Darüber hinaus konnte die Stagefright Detector App(öffnet im neuen Fenster) von Zimperium noch nicht aktualisiert werden. Derzeit gibt die App noch vor, dass ein System geschützt sei, wenn die aktuellen Patches installiert sind. Exodus Intelligence arbeite mit Zimperium daran, den fehlerhaften Patch als solchen zu erkennen.
Hersteller wollen monatliche Sicherheits-Patches einführen
Von der Sicherheitslücke sind alle Systeme ab Android 2.2 betroffen. Auf Geräte mit Android 4.1 oder einer neueren Version wirkt sich der Fehler nicht so stark aus, hier werden einige Angriffe automatisch abgewehrt. Bis Android 4.1 genügt bereits der Empfang einer MMS, um Opfer eines Angriffs zu werden. Auf aktuelleren Systemen muss der Nutzer aktiv werden, damit sich die Sicherheitslücke ausnutzen lässt.
Google, Samsung und LG haben als Reaktion auf die Stagefright-Lücke angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Vergleichbare Schritte gibt es von Sony, Motorola, HTC oder Huawei bislang nicht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.