Digital Life
01.10.2015

Sicherheitslücke bedroht eine Milliarde Android-Smartphones

"Stagefright 2.0" soll mehr als eine Milliarde Android-Smartphones gefährden. Google bereitet bereits ein Update vor, die Hersteller sollen danach folgen.

Künftig werden es sich Android-Nutzer zwei Mal überlegen, ob sie ein Video oder eine MP3-Datei auf ihrem Smartphone wiedergeben. Sicherheitsforscher des Unternehmens Zimperium haben eine neue Sicherheitslücke entdeckt, die mehr als eine Milliarde Android-Smartphones bedrohen könnte. Angreifer können in modifizierten MP3- und MP4-Dateien Schadcode verstecken, der über einen Sicherheitslücke in der Android-Bibliothek libutils ausgeführt wird. Das Problem betrifft alle Smartphones von Android 1.0 bis 4.4.4, unter Lollipop (5.0 bis 5.1.1) kann jedoch ein neu entdeckter Fehler in der Stagefright-Bibliothek missbraucht werden.

Ärger über Google

Daher wird die neue Lücke bereits als "Stagefright 2.0" bezeichnet. Zimperium wurde Ende Juli weltbekannt, als man den berüchtigten Stagefright-Bug entdeckte. Dieser erlaubte das unbemerkte Einschleusen von Schadsoftware per MMS. Das Unternehmen hat Google bereits am 15. August über die neue Sicherheitslücke benachrichtigt. Google hat nun offenbar die Lücke im Android Open Source Project (AOSP) geschlossen. Das verärgert wiederum die Sicherheitsforscher.

"Neben den Guten schauen auch die Bösen Open-Source-Projekte durch, um kürzlich gepatchte Sicherheitslücken zu finden. Das Problem im Quellcode auszubessern ohne ein entsprechendes Update zu liefern ist gefährlich, auch wenn es nur für wenige Wochen ist", so Joshua J. Drake von Zimperium gegenüber The Register. Zimperium hat glücklicherweise noch keinen Beispielcode veröffentlicht, wodurch Angreifer sich zunächst einmal durch den Android-Code wühlen müssen.

Updates geplant

Derzeit ist noch nicht klar, welche Geräte Updates erhalten werden. Google kündigte ein entsprechendes Sicherheits-Update für Nexus-Geräte an, das am 5. Oktober veröffentlicht werden soll. Auch die Android-Hersteller bereiten bereits entsprechende Updates vor, wann diese ausgeliefert werden, ist allerdings unklar. Laut Zimperium ist damit zu rechnen, dass die meisten Smartphones mit Android ab Version 4.4 ein Update erhalten werden. Damit werden zumindest bis zu 60 Prozent der derzeit verwendeten Android-Smartphones abgedeckt.