Ein von Google ausgeliefertes Update, das in Android die sehr gefährliche Stagefright-Lücke schließen soll, ist fehlerhaft. Auch Nexus-Modelle bleiben angreifbar, vor September ist kein neuer Patch zu erwarten. Nutzer anderer Geräte müssen sich noch viel länger gedulden.

Stagefright bleibt wohl noch lange die größte Bedrohung für Android-Geräte. Auch Nutzer von Nexus-Modellen können sich trotz mehrerer von Google ausgelieferter Patches nicht sicher fühlen. Das Sicherheitsunternehmen Exodus Intelligence hat festgestellt, dass eins der Updates fehlerhaft ist und die Systeme daher immer noch angreifbar sind. Spezialisten des Unternehmens gelang es mittels einer präparierten mp4-Datei, ein Nexus 5 zum Absturz zu bringen.

Google wurde am 7. August unterrichtet und hat die Existenz des Problems auch bestätigt. Trotzdem verbreite es weiter den fehlerhaften Patch und habe auch nicht mitgeteilt, wann mit einem fehlerfreien Update zu rechnen sei, heißt es im Blogeintrag der Sicherheitsexperten. Möglicherweise weil sie dem Unternehmen nicht mal eine Woche Zeit ließen, auf das Problem zu reagieren. Normal sind bei gefundenen, aber noch nicht bekannten Sicherheitslücken bis zu drei Monate. Exodus Intelligence rechtfertigt sein Vorgehen mit einer besonderen Dringlichkeit. Stagefright habe so viel Aufmerksamkeit erhalten, dass vielleicht auch andere Hacker mit bösen Absichten bereits auf den fehlerhaften Patch aufmerksam geworden seien.

Nexus-Updates im September

"The Verge" erhielt allerdings eine Antwort auf eine entsprechende Anfrage. Man habe das Update bereits an andere Hersteller ausgeliefert, Nexus-Nutzer erhielten den Patch zusammen mit dem monatlichen Security-Update im September, teilte Google mit.

Wann auch andere Geräte gegen die Stagefright-Lücke abgesichert werden, ist noch offen. Manche Nutzer werden noch Wochen oder Monate auf ein Update warten müssen, viele Geräte werden wohl nie gepatcht. Immerhin möchten neben Google als Reaktion auf Stagefright jetzt auch Samsung und LG monatliche Sicherheitsupdates veröffentlichen. Sony hat ebenfalls reagiert. Updates gegen die Schwachstelle würden in den kommenden Wochen verteilt, teilte das japanische Unternehmen "Xperia Blog" mit.

Exodus Intelligence berichtet auch, die Stagefright Detector App des Schwachstellen-Entdeckers Zimperium zeige auf aktualisierten Nexus-Geräten immer noch an, keine Probleme entdeckt zu haben. Man arbeite mit dem Entwickler an einer Verbesserung der Anwendung, so der Blogeintrag. Die App ist allerdings mit Vorsicht zu genießen. Nutzer berichten, nach einem Suchlauf die Aufforderung erhalten zu haben, Kontakt zum Anbieter aufzunehmen. Auch n-tv.de ist so ein Fall bekannt. Alternativen wie Lookout Stagefright Detector werden allerdings ebenfalls von dem fehlerhaften Patch getäuscht.

Auch ohne App Gewissheit

Nötig sind solche Apps in der jetzigen Situation sowieso nicht. Derzeit sind alle Geräte ab Android 2.3 betroffen, da seit dieser Version das Stagefright-Framework standardmäßig zur Verarbeitung von Multimedia-Dateien verwendet wird. Zimperiums Sicherheitsforscher Joshua J. Drake schätzt, das 95 Prozent aller Android-Smartphones und -Tablets betroffen sind - ungefähr 950 Millionen Geräte. Je älter die Android-Version ist, desto größer ist die Gefährdung.