Software::Android
Smartphone-Hersteller liefern Patch für Stagefright aus
Im vielleicht größten Software-Update aller Zeiten werden in den nächsten Tagen Hunderte Millionen Android-Geräte einen Patch gegen die kürzlich als Stagefright bekannt gewordene Lücke in der Multimediakomponente des Betriebssystems erhalten. Zudem werden einige große Hersteller künftig monatliche Sicherheitsaktualisierungen einführen.
android.com
Die
Stagefright getaufte Lücke im Multimediasystem von Android hat viel Schadpotenzial, ist leicht auszunutzen und betrifft fast alle Androidgeräte am Markt. Das Problem war bisher, dass zwar Google einen Patch veröffentlicht hat, die Hersteller diesen aber nicht zeitnah auslieferten. Auf der derzeit in Las Vegas abgehaltenen Sicherheitskonferenz Black Hat 2015 wurde nun bekannt, dass Google und viele Gerätehersteller den Patch nun in einer konzertierten Aktion ausliefern. Google wird seine Nexus-Reihe gegen Stagefright abdichten, Hersteller wie Samsung, Motorola, HTC, LG, Sony, Android One und viele andere werden folgen. Hersteller Silent Circle hatte sein Blackphone bereits in Eigenregie gegen Stagefright gefeit.
Samsungs Vize-Präsident Dong Jin Koh sagte dazu, angesichts der letzten Sicherheitslücken in Android habe man den Modus von Aktualisierungen der Geräteplattformen überdacht und Wege gesucht, um Sicherheitspatches zeitnah auf die Geräte der Kunden zu bekommen. Bisher kamen von Google an die Hersteller verteilte Patches oft wegen der jeweiligen Firmenpolitik in Bezug auf Aktualisierungen nicht beim Endkunden an. Das soll sich nun ändern. Google, Samsung und LG, die zusammen einen großen Teil des Marktes abdecken, haben beschlossen, einen monatlichen Patchday einzuführen, an dem Sicherheitsaktualisierungen herausgegeben werden. Das soll für drei Jahre nach Erstvermarktung gelten, selbst wenn sonstige Aktualisierungen der Plattform für dieses Gerät bereits früher eingestellt werden.
In dem anstehenden Update wird auch der von Trend Micro letzte Woche entdeckte Pufferüberlauf in einer Integereinheit in der Multimediaverarbeitung gestoppt. Hierdurch konnten Android-Smartphones stumm geschaltet oder zum Absturz gebracht werden. Adrian Ludwig, bei Google zuständig für Android-Sicherheit, betonte, die monatlichen Aktualisierungen sollen nicht nur mit Patches auf Lücken reagieren, sondern langfristig die Plattform insgesamt weiter härten. Erst im Juni hatte Google, wie bereits seit Längerem beim Webbrowser Chrome gehandhabt, ein Bug-Bounty-Programm aufgelegt, das für die Entdeckung oder Beseitigung von Sicherheitslücken Prämien auszahlt. Für das Finden und die Beweisführung der Ausnutzung der Lücke können so bis zu 38.000 US-Dollar ausgezahlt werden.
Die Deutsche Telekom gab unterdessen bekannt, dass sie wegen Stagefright ab dem 5. August vorübergehend vom automatischen auf einen manuellen Download von MMS umstellt, sodass eine präparierte Datei in einer solchen MMS nicht mehr automatisch Schaden anrichten kann.
){kind=logo}
