Android-Lücke Stagefright: Weiterer Patch nötig

Google hat bestätigt, dass die Sicherheitslücke Stagefright noch nicht vollständig behoben ist. Ein weiterer Patch soll das von Exodus Intelligence entdeckte und gemeldete Problem beheben, dass Android-Smartphones unter bestimmten Umständen noch immer angreifbar sind.

„Wir haben den Fix bereits an unsere Partner geschickt, um die Nutzer zu schützen“, heißt es in Googles Stellungnahme. „Nexus 4 / 5 / 6 / 7 / 9 / 10 sowie Nexus Player werden das OTA-Update mit dem monatlichen Sicherheitupdate im September erhalten.“ Das gilt vermutlich auch für andere Geräte mit monatlicher Patch-Auslieferung, was aber voraussetzt, dass Hersteller oder Netzbetreiber mitziehen. Solche regelmäßigen Sicherheitsupdates für Android kündigten Google und Samsung in diesem Monat an, nachdem Stagefright als Mutter aller Android-Lücken sowie mit Certifi-gate eine weitere kritische Schwachstelle bekannt wurde,

Gegen Stagefright, das sich nicht nur über MMS ausnutzen lässt, stellte Google zunächst einen Set von Patches bereit, zu denen der Stagefright-Entdecker Zimperium beitrug. Als die gepatchte Firmware zugänglich wurde, prüften jedoch die Sicherheitsforscher von Exodus Intelligence auf weitere Schwachstellen und wurden fündig. Es gelang ihnen, eine MP4-Datei so zu manipulieren, dass sie einen der Patches umgehen und einen eben erst akualisierten Nexus 5 zum Absturz bringen konnten. Die Sicherheitsforscher schätzen, dass rund 950 Millionen Google-Kunden von dem Fehler betroffen sind. Datendiebstahl oder Code-Ausführung scheint der fehlerhafte Patch jedoch nicht zu ermöglichen.

Exodus Intelligence kritisiert Google dafür, noch immer den fehlerhaften Patch auszuliefern und damit die Nutzer in Sicherheit zu wiegen. Mit Stagefright-Entdecker Zimperium arbeiten die Sicherheitsforscher zusammen, um die Stagefright Detector App für die Erkennung der noch bestehenden Anfälligkeit anzupassen. „Wir haben auch vor, sie auf weitere Mängel aufmerksam zu machen, die wir kürzlich entdeckt haben“, schreiben sie in einem Blogeintrag, ohne diese Andeutung näher zu erläutern.

Die schnelle Öffentlichmachung begründete Exodus Intelligence damit, dass sie das Problem Google am 7. August mitgeteilt und noch immer keine Antwort auf ihre Frage erhalten hätten, wann ein überarbeiteter Patch kommt. Zudem sei der ursprüngliche Fehler schon vor über 120 Tagen an Google gemeldet worden – und damit wären die üblichen 90 Tage längst überschritten, nach denen Sicherheitsforscher sich berechtigt sehen, von den Herstellern ungepatchte Schwachstellen öffentlich zu machen.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.