Die Stagefright Sicherheitslücke in der gleichnamigen Multimedia Schnittstelle bedroht alle Android Smartphones von Version 2.2 bis zur aktuellen Version 5.1. Betroffen sind wohl rund 95% aller Android Geräte. Und mit der Sicherheitslücke ist nicht zu spaßen, immerhin haben Kriminelle dadurch Zugriff auf das Gerät. Seit Version 4.0 verfügt Android zwar über die Schutzfunktion Address Space Layout Randomization (ASLR), die das Ausnutzen der Sicherheitslücke erschwert, aber leider nicht vollständig verhindert.

Die Ausnutzung der Sicherheitslücke kann über eine präparierte Multimedia Datei erfolgen. Dies könnte ein MP4 Video sein, welches über Email, eine MMS oder Hangouts Nachricht oder eine präparierten Webseite empfangen wird. Die Folge wäre ein Absturz der oben erwähnten Multimedia Schnittstelle. Der entstandene Pufferüberlauf kann dann anschließend zum Ausführen von bösartigem Programmcode genutzt werden. So könnten dann Video- oder Audio-Mitschnitte erfolgen und Smartphone als Abhörgerät missbraucht werden.

So eine Sicherheitslücke ist sicher nicht toll. Aber auch kein Beinbruch, immerhin stellte Google relativ schnell nach bekanntwerden der Sicherheitslücke einen entsprechenden Patch bereit. Ähnlich wie auch andere Hersteller wie Microsoft oder Apple vorgehen, wenn ihr System von einer Sicherheitslücke betroffen ist. Problem bei Android ist allerdings die Verteilung der Updates, für die eben der jeweilige Hersteller des Smartphones verantwortlich ist.

Und genau dieser Umstand zeigt eben das eigentliche Problem. Zwar hat Google den Patch mittlerweile per OTA-Update für seine Nexus Geräte bereitgestellt und zukünftig monatliche Aktualisierungen ähnlich dem Microsoft Patchday angekündigt. Solange aber jeder Hersteller selbst für die Implementierung und Verteilung der Updates verantwortlich ist, wird dies eine äußerst zähe Angelegenheit bleiben. Außer Samsung, die zumindest für einige wenige Modelle mit der Auslieferung der Updates begonnen haben, bleibt es bei allen anderen Herstellern bisher bei Ankündigungen.

Wie kann sich der geneigte Anwender zwischenzeitlich behelfen? Man sollte den automatischen MMS Download auf alle Fälle deaktivieren. Die Telekom hat dies serverseitig ohnehin schon umgesetzt. Außerdem sollte man per App prüfen, ob das eigene Smartphone von der Sicherheitslücke betroffen ist. Mit der App lässt sich dann ebenfalls prüfen, ob ein in Zukunft erscheinender Patch das Problem tatsächlich behebt.

Das Problem zeigt aber auch, dass Google dringend darüber nachdenken sollte, in zukünftigen Android Versionen ein zentrales Patchmanagement einzuführen. Zumindest für systemnahe Funktionen, die auf allen Geräten identisch sind. Nur so kann eine zeitnahe Aktualisierung sichergestellt werden. Bei den Herstellern werden doch wenn überhaupt, dann nur die aktuellen Flagschiffe mit Updates versorgt. Ältere oder Mittelklasse Modelle werden meist gar nicht mehr mit bedacht, obwohl gerade diese Geräte die große Masse ausmachen. Die Opensignal-Statistik, welche die Fragmentierung des Android Marks darstellt, zeigt dies ganz deutlich. Dort ist das drei Jahre alte Samsung Galaxy S3 Smartphone noch immer das am weitesten verbreitete Gerät und dafür gab es vor einem Jahr das letzte Update von Samsung.