Stagefright: Patches und Fixes von Google, Herstellern und Providern

In den letzten Wochen brodelte es nicht nur in den Medien und in der Android-Community, sondern wahrscheinlich auch in den Köpfen der Software-Experten von Google. Neben diesen mussten sich auch die Endgeräte-Hersteller und Netzbetreiber ins Zeug legen, um den bisher als größte Sicherheitslücke des Systems bezeichneten Fehler in Android auszumerzen. Genannt werden der Fehler und der dadurch eindringende Trojaner „Stagefright“.

Ein kurzer Abriss zu Stagefright

Die Möglichkeit, diese Sicherheitslücke für die Installation von Schadsoftware zu nutzen, war einigen Medienberichten schon im April dieses Jahres bekannt; auch Google selbst sollen entsprechende Dokumente vorgelegen haben. Im Juli und im August kam es dann zu den entsprechenden Angriffen. Diese konnten auf verschiedenen Wegen passieren: in Form einer App, durch ein Video, welches vermittels einer Nachricht (MMS) geschickt wurde, oder auch durch das Anklicken eines Links.

Wie genau das System überrumpelt und die letztendliche Schadsoftware auf das Android-Gerät kommt, das wird in diesem Artikel vom Trend Mirco Blog sehr ausführlich erklärt. Aber was macht die Schadsoftware? Nun, im Grunde alles, was der Angreifer will. Er kann mit ihr den Smartphone-Besitzer abhören (auch wenn nicht telefoniert wird), auf die Kamera zugreifen, SMS auslesen und verschicken, im Grunde den gesamten Speicher auslesen und nutzen, den Standort abrufen und vieles mehr.

Es ist also nicht „nur“ eine Schadsoftware, die einem Streiche spielt oder dafür sorgt, dass man das System rooten oder flashen muss, weil nichts mehr geht. Es handelt sich hier um eine Sicherheitslücke, die noch umso schlimmer wird, weil für den Angreifer keine allzu großen Programmierkünste vonnöten sind. Der Code oder die Nachrichten zum Eindringen ins System sind vorhanden und können aus verschiedenen Quellen bezogen werden – genauso verhält es sich mit der Steuerungssoftware, mit der anschließend die Überwachungsmanöver durchgeführt werden.

Bevor man sich verrückt macht: einen Test durchführen

Dieser Artikel ist vor allem für jene, die sich vor einem Stagefright-Angriff schützen wollen. Ob die Sicherheitslücke nun im vollen Maße ausgenutzt wird oder nicht, ist dabei natürlich irrelevant. Aber auch wer sich für seine Kaufentscheidung zu den aktuell gefixten Geräten belesen will, kann sich hier gern informieren. Ob man aber wirklich betroffen ist – von der Lücke sowieso, aber auch von einem Trojaner? – das kann wiederum per App festgestellt werden. Zwei empfehlenswerte Programme sind der Stagefright Detector von Lookout Mobile Security und die Stagefright Detector App von Zimperium INC.

Die aktuellen Patches der Smartphone-Hersteller

Google

Bereits zum 6. August hatte Google für seine Nexus-Geräte einen Patch zum Schließen der Stagefright-Lücke parat; mit Namen Build LMY481. Zudem wurde angekündigt, dass die Nexus-Smartphones einen überarbeiteten und hochfrequenten Update-Service erhalten sollen. Die monatlich stattfindenden OTA-Updates (Over The Air, also per Funk) sollen zwei Jahre lang laufen. Aktuellen Meldungen zufolge wurden von der 4 bis zur 10 alle Nexus-Geräte gepatcht.

Samsung

Zumindest in den USA sollen Samsung-Geräte schon flächendeckend mit Patches ausgestattet worden sein. Eine etwaige Verzögerung kann auch vom Mobilfunkprovider abhängen. Bestätigt wurden entsprechende Updates aber schon für die Galaxy S6 Modelle (auch Edge) sowie für das Galaxy S5, das Galaxy Note Edge und das Galaxy Note 4.

Motorola

Neue Geräte (Moto X Style; Moto X Play) sollen bei Motorola schon mit einem entsprechend aufgespielten Patch auf den Markt kommen. Aber auch aktuelle sowie ältere Geräte werden mit einer Behebung der Sicherheitslücke bedacht. So sollen diese Geräte nach und nach beliefert werden: erste und zweite Generation des Moto X, Moto X Pro, Moto G (alle Generationen und Ausführungen), Moto E (ebenfalls), Moto Maxx / Turbo, Droid Turbo, Droid Ultra / Mini / Max.

HTC

Bei HTC gibt es noch keine so genauen Angaben, nur ist bekannt, dass die OTA-Updates für das One M7 und das One M9 verfügbar sind. Automatische Updates sollten also aktiviert sein und geladen werden. Wenn sie nicht automatisch ausgeführt werden, dann ist der Nutzer in der Pflicht, die Updates aufzuspielen, um sein Gerät sicher zu machen. Sicherlich werden (oder wurden) auch noch andere Modelle mit dem Patch beliefert.

OnePlus

Für das OnePlus One gibt es ein komplettes Update für das Betriebssystem OxygenOS. Vor dem Aufspielen der aktuellen Version 1.0.2 wird eine Datensicherung empfohlen. Neben dem Stagefright-Fix soll es hier keine weiteren Änderungen geben. Anders sieht es beim OnePlus 2 aus. Hier gibt es auch ein Update des OxygenOS; auf die Version 2.0.1. Das Update kommt via OTA und sorgt nicht nur für den Fix von Stagefright, sondern auch für gerätespezifische Verbesserungen (Akkulaufzeit, etc.).

ASUS

Auch beim Update für das ZenFone 2 (namentlich 2.20.40.59_20150807) kommt nicht nur ein Fix für die Stagefright-Lücke daher, sondern auch einige Verbesserungen für das Betriebssystem bzw. die Firmware. Alle ausführlichen Infos zu den Auswirkungen des Updates gibt es im Forum auf asus.com.

Die aktuellen Patches der Netzprovider

Deutsche Telekom

Die Deutsche Telekom AG war jener Provider, der Anfang August direkt auf die Bedrohung reagiert hat. Denn ab dem 5. August konnten Kunden eingehende MMS nur noch manuell herunterladen. Über einen Eingang wurden sie per Service-SMS informiert. Die MMS ist zwar nicht der einzige, aber der häufigste, da einfachste Weg für Stagefright-Angreifer. Patches für Telekom-Geräte seien in Planung und werden derzeit mit den Herstellern besprochen.

Telefónica Deutschland (respektive o2 und E-Plus)

Auch bei o2 und E-Plus werden MMS mit Video-Inhalten zurückgehalten und können vom Kunden online aufgerufen werden. Updates für Android sind bei der Telefónica aber kein Problem, da der Provider kein Branding der Software betreibt.

Vodafone

Vodafone sieht im Hinblick auf den MMS-Empfang die Kunden in der Pflicht und greift nicht ein. Ein MMS-Empfang kann seitens des Nutzers deaktiviert werden. Zudem beruft sich Vodafone auf die Google-Patches für Android, die den Herstellern schon vorliegen. Über deren Verbreitung mit Vodafone-Hilfe gibt es keine Infos.