Abo
  • Services:

Android-Sicherheitslücke: Googles Stagefright-Patch ist fehlerhaft

Google muss einen der Stagefright-Patches überarbeiten. Der Patch schließt die Sicherheitslücke nicht, und Android-Geräte sind weiterhin angreifbar. Ein korrigierter Patch für die Nexus-Modelle wird diesen Monat aber nicht mehr erscheinen.

Artikel veröffentlicht am ,
Stagefright: Warten auf korrigierten Patch
Stagefright: Warten auf korrigierten Patch (Bild: Joshua Drake)

Einer der von Google verteilten Stagefright-Patches sei fehlerhaft, berichten die Sicherheitsexperten von Exodus Intelligence. So lange der betreffende Patch nicht korrigiert werde, seien Android-Systeme weiterhin angreifbar. Insgesamt hatte Google sechs Sicherheits-Patches veröffentlicht, um alle Stagefright-Angriffsmöglichkeiten zu verhindern. Einer der Patches schützt Systeme aber nicht vor weiteren Angriffen.

Nexus-Besitzer müssen auf korrigierten Patch warten

Stellenmarkt
  1. Deutsche Schillergesellschaft e.V., Marbach am Neckar
  2. BIOTRONIK SE & Co. KG, Berlin

Google hat den Patch bereits korrigiert und an Gerätehersteller weitergereicht. Bis es den Patch für Besitzer eines Nexus-Gerätes geben wird, dauert es aber noch. Google wolle den überarbeiteten Patch erst im September 2015 veröffentlichen, zitiert unter anderem The Verge eine Google-Stellungnahme. Wann andere Hersteller von Android-Geräten die notwendigen Patches zur Beseitigung der Stagefright-Sicherheitslücke auch in der überarbeiteten Version veröffentlichen werden, ist nicht bekannt. Einzig für Cyanogenmod wurde ein Update bis Ende des Monats versprochen, dann soll auch der fehlerhafte Patch ausgetauscht sein.

Exodus Intelligence hatte den Fehler im Patch am 7. August 2015 bemerkt und Google umgehend informiert - und jetzt die Öffentlichkeit darüber in Kenntnis gesetzt. Üblicherweise wird Herstellern eine deutlich längere Zeitspanne eingeräumt, um ein gefundenes Sicherheitsloch zu beseitigen. Exodus hat sich aber anders entschieden, weil der fehlerhafte Patch im direkten Zusammenhang mit der Sicherheitslücke stehe, über die Google bereits seit Monaten informiert sei.

Fehlerhafter Patch wird weiter verteilt

Außerdem sorgt sich das Unternehmen, dass Google den fehlerhaften Patch trotz der Warnung durch Exodus Intelligence weiter verteilt. Dadurch würden Kunden in trügerischer Sicherheit gewogen, das Sicherheitsloch sei geschlossen. Das Unternehmen zeigt sich auch verärgert darüber, dass Google von sich aus keinen Zeitplan genannt hat, wann der korrigierte Patch erscheinen werde.

Darüber hinaus konnte die Stagefright Detector App von Zimperium noch nicht aktualisiert werden. Derzeit gibt die App noch vor, dass ein System geschützt sei, wenn die aktuellen Patches installiert sind. Exodus Intelligence arbeite mit Zimperium daran, den fehlerhaften Patch als solchen zu erkennen.

Hersteller wollen monatliche Sicherheits-Patches einführen

Von der Sicherheitslücke sind alle Systeme ab Android 2.2 betroffen. Auf Geräte mit Android 4.1 oder einer neueren Version wirkt sich der Fehler nicht so stark aus, hier werden einige Angriffe automatisch abgewehrt. Bis Android 4.1 genügt bereits der Empfang einer MMS, um Opfer eines Angriffs zu werden. Auf aktuelleren Systemen muss der Nutzer aktiv werden, damit sich die Sicherheitslücke ausnutzen lässt.

Google, Samsung und LG haben als Reaktion auf die Stagefright-Lücke angekündigt, künftig einmal monatlich Sicherheitsupdates für ihre Geräte zu veröffentlichen. Vergleichbare Schritte gibt es von Sony, Motorola, HTC oder Huawei bislang nicht.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 39,99€ statt 59,99€

ocm 17. Aug 2015

Du hast die Meldung scheinbar falsch verstanden, aber die Überschrift ist auch...

Jasmin26 16. Aug 2015

sieh dir Android von 1,5 bis heute an, und vergleichs ( Qualität) mit den gaaps, da wird...

ChristianIgdna 16. Aug 2015

Wow, da schafft es also ein Riesen Unternehmen, die Hälfte der Bedrohungen zu stopfen...

ChristianIgdna 16. Aug 2015

Ist ja schön und gut, dass Samsung und HTC auch irgendwann Updates anbieten wollen...

Jasmin26 15. Aug 2015

nun Versuchs mal mit Google, ist so einfach den orginal artikel zu finden ! golem ist...


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Sun to Liquid: Wie mit Sonnenlicht sauberes Kerosin erzeugt wird
Sun to Liquid
Wie mit Sonnenlicht sauberes Kerosin erzeugt wird

Wasser, Kohlendioxid und Sonnenlicht ergeben: Treibstoff. In Spanien wird eine Anlage in Betrieb genommen, in der mit Hilfe von Sonnenlicht eine Vorstufe für synthetisches Kerosin erzeugt oder Wasserstoff gewonnen wird. Ein Projektverantwortlicher vom DLR hat uns erklärt, warum die Forschung an Brennstoffen trotz Energiewende sinnvoll ist.
Ein Bericht von Werner Pluta

  1. Deep Sea Mining Deep Green holte Manganknollen vom Meeresgrund
  2. Klimaschutz Unter der Erde ist das Kohlendioxid gut aufgehoben
  3. Physik Maserlicht aus Diamant

K-Byte: Byton fährt ein irres Tempo
K-Byte
Byton fährt ein irres Tempo

Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
Ein Bericht von Dirk Kunde

  1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
  2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
  3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

Hacker: Was ist eigentlich ein Exploit?
Hacker
Was ist eigentlich ein Exploit?

In Hollywoodfilmen haben Hacker mit Sturmmasken ein ganzes Arsenal von Zero-Day-Exploits, und auch sonst scheinen die kleinen Programme mehr und mehr als zentraler Begriff der IT-Sicherheit verstanden zu werden. Der Hacker Thomas Dullien hingegen versucht sich an einem theoretischen Modell eines Exploits.
Von Hauke Gierow

  1. IoT Foscam beseitigt Exploit-Kette in Kameras
  2. Project Capillary Google verschlüsselt Pushbenachrichtigungen Ende-zu-Ende
  3. My Heritage DNA-Dienst bestätigt Datenleck von 92 Millionen Accounts

    •  /