Vor knapp zwei Jahren hat der Stagefright-Bug die Smartphone-Welt in Atem gehalten und hatte potenziell Hunderte Millionen Android-Geräte betroffen. Aus diesem Debakel haben Google und die Hersteller versucht zu lernen, doch wirklich gefruchtet haben die Bemühungen der Vergangenheit nicht wirklich - wie der Jahresrückblick der Google Security nun zeigt. Das Unternehmen tut zwar alles in seiner Macht stehende, kann den Herstellern aber nichts vorschreiben.
Schlagwort: stagefright
Im Sommer 2015 wurde die Android-Welt - und auch Google als Entwickler - vom Stagefright-Bug kalt erwischt und hat eine schwere Sicherheitslücke im Betriebssystem vor Augen geführt. Potenziell waren damals bis zu 1 Milliarden Geräte betroffen und bis heute stehen vor allem ältere Geräte offen wie Scheunentore. Doch überraschenderweise konnte Google nun verkünden, dass die Sicherheitslücke nicht ein einziges mal ausgenutzt worden ist.
Im letzten Jahr hat der Stagefright-Bug die Android-Welt in Atem gehalten und hätte es ermöglicht, die nahezu volle Kontrolle über bis zu 1 Milliarde Android-Geräte zu übernehmen. Schuld war ein sehr anfälliger Mediaserver, der Dateien ohne Nachfrage geöffnet und den enthaltenen Code ausgeführt hat. Mit Android N will Google nun sicher stellen, dass sich ein solches Szenario nicht wiederholt.
Gerade erst hat sich die Aufregung um die Stagefright-Lücke in Android wieder gelegt und viele Hersteller haben die Lücke gestopft, da kommt schon die nächste große Katastrophe für Googles Betriebssystem: Der Entdecker der ersten Lücke, Zimperium, hat noch zwei weitere Lücken entdeckt, die ein genau so großes Einfallstor für Angreifer sind und sogar noch mehr Smartphones betreffen als die erste Version. Beide nutzen wieder eine Lücke in Androids Mediaserver aus.
Auch wenn die Nexus-Geräte mittlerweile aktualisiert und das Problem behoben sein sollte, klafft noch immer in vielen Millionen Smartphones die Stagefright-Lücke, mit der ein Angreifer potenziell die Kontrolle über das gesamte System übernehmen könnte. Jetzt hat der ursprüngliche Entdecker der Lücke, die Sicherheitsforscher von Zimperium, einen funktionierenden Exploit für Android 4.04 veröffentlicht. Damit liegt die grundlegende Funktionalität nun offen, und es sind in Zukunft tatsächliche Angriffe über die Lücke zu befürchten.
Die Stagefright Sicherheitslücke in Android lässt Google nicht zur Ruhe kommen: Nachdem man dachte, dass das Problem zumindest für Besitzer eines Nexus-Smartphones nach dem Rollout des Sicherheits-Updates behoben ist, musste man nun feststellen dass der Patch keinen vollwertigen Schutz bietet. Denn auch der Patch lässt noch eine Lücke offen und macht das System weiterhin angreifbar. Einen erneuten Patch, der auch diese Lücke schließt und das System endlich wieder sicher machen soll, wird Google aber nicht vor September ausrollen.
Seit Ende Juli schwebt das Schreckgespenst Stagefright über allen Android-Nutzern und verwandelt fast 1 Milliarde Geräte in ein mobiles Sicherheitsrisiko. Zwar hat Google bereits vor Wochen Patches an die Smartphone-Hersteller ausgeliefert, doch bisher ist davon noch keines bei den Endnutzern angekommen. Mit zwei simplen Apps lässt sich nun testen, ob das eigene Gerät ebenfalls von der Lücke betroffen ist, bzw. ob ein ausgeliefertes Update bereits Wirkung gezeigt hat.
Die Situation mit der Bereitstellung und Auslieferung von Updates bei Android war noch nie wirklich zufrieden stellend und für viele Nutzer ein großes Ärgernis. Doch gerade die Ereignisse der letzten Wochen haben gezeigt, dass das ganze auch ein großes Risiko ist und Sicherheitslücken Tür und Tor öffnet. Jetzt ergreifen Google und Samsung eine dringend notwendige Maßnahme und kündigen monatliche Sicherheitsupdates für die Smartphones an.
Vor zwei Tagen wurde öffentlich bekannt, dass im Android-Betriebssystem eine riesige Sicherheitslücke klafft, von der potenziell alle Nutzer betroffen sind. Die Lücke ist insbesondere deswegen gefährlich, weil sie keine weitere Interaktion des Nutzers erfordert und direkt von Außen von einem Angreifer auf das Smartphone gesendet werden kann - ohne dass sich der Nutzer dagegen wehren könnte. Jetzt hat Google angekündigt, dass man Anfang nächster Woche ein Sicherheitsupdate für Nexus-Geräte anbieten wird.