Stagefright-Lücke in Android: Google kündigt weiteres Sicherheitsupdate für Nexus-Geräte an

 

Vor zwei Tagen wurde öffentlich bekannt, dass im Android-Betriebssystem eine riesige Sicherheitslücke klafft, von der potenziell alle Nutzer betroffen sind. Die Lücke ist insbesondere deswegen gefährlich, weil sie keine weitere Interaktion des Nutzers erfordert und direkt von Außen von einem Angreifer auf das Smartphone gesendet werden kann – ohne dass sich der Nutzer dagegen wehren könnte. Jetzt hat Google angekündigt, dass man Anfang nächster Woche ein Sicherheitsupdate für Nexus-Geräte anbieten wird.

Bisher sind nur wenige Details zu dem offenen Scheunentor bekannt: Der Fehler liegt in der automatischen Videoverarbeitung des Systems, die der Nutzer nicht unterbinden kann. Sobald eine MMS mit einem angehangenen Video eingeht, wird dieses automatisch verarbeitet und in die Galerie des Nutzers eingefügt. Doch in diesem Video kann ein Schadcode enthalten werden, der das System überlistet und dann die Möglichkeit hat, beliebigen Code auszuführen und vollen Systemzugriff zu bekommen – ohne dass der Nutzer dies bemerkt. Noch bevor dieser über die neue MMS informiert wird kann das System schon befallen sein.

Bisher war die Rede davon, dass alle Android-Versionen bis inklusive Jelly Bean betroffen sind. Doch jetzt hat Google angekündigt, dass man Anfang nächster Woche ein Sicherheitsupdate für Nexus-Geräte ausrollen wird, die diese Lücke schließt – obwohl diese im Normalfall schon längst auf KitKat oder Lollipop laufen sollten. Bei dem Update soll es sich um „weitere Sicherheitsmaßnahmen“ handeln, offenbar kann der Bug also auch bei neueren Android-Versionen ausgenutzt werden. Weitere Details dazu wollte Google vorerst aber noch nicht verraten.

This vulnerability was identified in a laboratory setting on older Android devices, and as far as we know, no one has been affected. As soon as we were made aware of the vulnerability we took immediate action and sent a fix to our partners to protect users…
 
As part of a regularly scheduled security update, we plan to push further safeguards to Nexus devices starting next week. And, we’ll be releasing it in open source when the details are made public by the researcher at BlackHat.

Googles Entwickler sind bereits seit April über die „Stagefright“-Lücke informiert und arbeiten seit dem an einem Patch. Dieses Sicherheitsupdate wurde auch bereits an alle Smartphone-Hersteller verteilt, aber ob diese das dann auch tatsächlich auf ihre älteren Geräte verteilen liegt in deren Hand. Da für die Hersteller ein erheblicher Aufwand mit dem Update von älteren Geräten verbunden ist, sollte man also eher davon ausgehen dass viele Millionen Geräte offen bleiben werden. Welche Nexus-Geräte in Googles Sicherheitsupdate eingeschlossen sind ist ebenfalls noch nicht bekannt.



In der nächsten Woche sollen auf der BlackHat-Konferenz in Las Vegas Details zu dieser Sicherheitslücke offen gelegt und deren Funktionsweise gezeigt werden. Spätestens ab diesem Zeitpunkt sind dann tatsächlich alle Geräte potenziell betroffen. Ab diesem Zeitpunkt wird Google ebenfalls das Sicherheitsupdate als Open Source freigeben, um möglicherweise doch eine weitere Verbreitung zu erreichen. Wir dürfen also auf die nächste Woche gespannt sein, ob der Bug tatsächlich so folgenschwer ist wie er derzeit noch verkauft wird.

Ein einfaches Deaktivieren des MMS-Empfangs oder dessen automatischen Download der angehangenen Daten dürfte nicht ausreichen, da Google dies sonst schon längst als ersten Workaround veröffentlicht hätten. Bestätigt ist aber auch das nicht, weitere Details sind wohl erst in der nächsten Woche zu erwarten.

[AndroidPolice]

---

---