Stagefright – so hat man eine Sicherheitslücke getauft, die es erlaubt, mit einer veränderten MP4-Video-Datei das Android Betriebssystem zu kompromittieren. Tatsächlich ist nicht viel Aufwand nötig und ich Netz kursieren die ersten proof-of-concepts und Anleitungen, wie man diese Lücke ausnutzen kann, um Schadcode in das Betriebssystem zu schleusen.
Betroffen sind übrigens weit über 90% der Android Geräte in Betrieb, denn Smartphones und Tablets mit der Version 4.0.1 bis 5.1.1 besitzen diese Sicherheitslücke, die den mediaserver innerhalb des Betriebssystems nutzt, um den Code einzuschleusen. Da dieser aber alle so ziemlich Medien-bezogenen Aufgaben übernimmt, erhält der Angreifer damit auch praktisch Zugriff auf alle Bereiche des Smartphones.
Google hat jetzt zum Einen OTAs für die Nexus-Geräte 4, 5, 6, 7, 9 und 10 zur Verfügung gestellt, die die Lücke bei den Geräten schließt, aber zum Anderen auch angekündigt, dass man ab sofort auf einer monatlichen Basis Updates für die eigenen Nexus-Geräte verteilen wird, um solche Fehler über diese regelmäßigen Updates sicher schließen zu können. Gleiches kündigte auch Samsung an: der koreantische Hersteller wird ebenfalls monatlich Updates für die eigenen Galaxy-Geräte zur Verfügung stellen, um diese zumindest in solchen Angelegenheiten sicher zu halten.
Eine willkommene Tatsache, denn solche Sicherheitslücken stellen eine echte Gefahr für die Nutzer dar und ich hoffe sehr stark, dass sich Google im Zuge dieses Problems noch einmal an einen Tisch mit den Herstellern setzt und eine Basis aushandelt, auf der diese auch gezwungen werden, bestimmte Updates auch auf ältere Geräte bringen zu müssen. Denn Geräte, die teilweise schon 2 Jahre alt sind, aber trotzdem noch viel verwendet werden und gefragt sind, werden in der Regel nicht mehr mit Updates durch die Hersteller versorgt und das kann im Fall von einer solchen Sicherheitslücke ein echtes Problem darstellen.
Quellen: heise, google, androidauthority