Stagefright-Lücke: Googles Patch ist fehlerhaft und lässt weitere Lücke offen
Die Stagefright Sicherheitslücke in Android lässt Google nicht zur Ruhe kommen: Nachdem man dachte, dass das Problem zumindest für Besitzer eines Nexus-Smartphones nach dem Rollout des Sicherheits-Updates behoben ist, musste man nun feststellen dass der Patch keinen vollwertigen Schutz bietet. Denn auch der Patch lässt noch eine Lücke offen und macht das System weiterhin angreifbar. Einen erneuten Patch, der auch diese Lücke schließt und das System endlich wieder sicher machen soll, wird Google aber nicht vor September ausrollen.
Das Problem mit den mangelnden Updates von Android ist bereits seit Jahren bekannt, aber erst seitdem die Kac*e so richtig am Dampfen ist, haben Google und die Smartphone-Hersteller Maßnahmen ergriffen und haben monatliche Sicherheits-Updates für ihre Smartphones angekündigt. Die erste Welle von Updates zur Schließung der Stagefright-Lücke hat Google bereits ausgeliefert, doch leider war diese eben fehlerhaft und lässt das Betriebssystem weiter Offen wie ein Scheunentor.
Auch nach der Einspielung des Patches lässt sich durch einen Pufferüberlauf ein interner DoS-Angriff durchführen, der dem Angreifer dann die volle Kontrolle über das Smartphone gibt. Google hat dies bereits bestätigt und hat einen weiteren Patch entwickelt, der allerdings erst beim nächsten Update-Zyklus im September ausgeliefert werden soll. Und damit zeigt sich schon wieder einmal die Schwäche eines solchen fixen Update-Termins, denn obwohl Google die Lücke schließen könnte, zögert man dies hinaus. Warum man nicht einfach für die eigenen Geräte ein sofortiges Update herausgibt ist unverständlich.
Auch die Smartphone-Hersteller wurden bereits wieder mit der letzten Version des Patches beliefert, doch die meisten haben ohnehin noch nicht einmal die erste Version ausgeliefert und scheinen damit völlig überfordert. Und so wird es wohl dazu kommen, dass ein Großteil der Smartphones tatsächlich ungepatcht bleiben werden – obwohl die Hersteller die Möglichkeit hätten die Lücke zu stopfen. Doch bisher ist noch immer kein einziger Angriff im Rahem der Stagefright-Lücke bekannt, so dass nur zu hoffen bleibt dass Google und alle Beteiligten die genaue Vorgehensweise so gut verschleiern können, dass keine fragwürdige Software dies ausnutzen kann.
Im Play Store gibt es zwei Apps, die prüfen können ob euer Smartphone von der Lücke betroffen ist. Da mein Smartphone noch kein Update gegen die Lücke bekommen hat, kann ich leider nicht sagen ob diese auch die neue Lücke erkennen können. Laut der Update-Beschreibung der Zimperium-App soll diese aber bereits angepasst sein und auch die neue Lücke bereits erkennen. Besitzer eines Nexus-Smartphones dürfen darauf hoffen, dass sie das nächste Update schon in wenigen Wochen bekommen werden – alle anderen müssen einfach darauf warten bis sich die Hersteller zu einem Update durchringen können. Bleibt zu hoffen, dass es keinen großangelegten Angriff auf Smartphones mit dieser Lücke geben wird – denn das würde einen gewaltigen Schaden für Android als Betriebssystem anrichten…
[heise]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter