Stagefright: Motorola verspricht umfassende Updates

10. August 2015, 12:01
19 Postings

Alle bisherigen Moto E, G und X sollen Fix für Sicherheitslücken im Media Framework erhalten

Auch wenn es bisher noch keine Hinweise auf entsprechende Angriffe gibt – die vor zwei Wochen bekannt gewordenen Sicherheitslücken im Media Framework Stagefright haben ordentlich Bewegung in die Android-Welt gebracht. Nach Google, LG und Samsung meldet sich mit Motorola nun der nächste Hersteller zu Wort – und verspricht umfassende Updates.

Aufzählung

In einem Eintrag auf der eigenen Webseite führt das Unternehmen aus, welche Smartphones gepatchet werden sollen. In dieser Liste finden sich unter anderem alle bisherigen Versionen von Moto X, Moto G und Moto E. Auch einige nur in den USA verkauften Geräte sind hier angeführt.

Ablauf

Die Auslieferung soll laut Motorola in Kürze beginnen. Dabei werden die populärsten Geräte als erstes bedient, um möglichst rasch eine hohe Anzahl an Nutzern zu bedienen. Wie gewohnt sind zunächst jene an der Reihe, die ihr Smartphone "frei" gekauft haben. Die meisten Mobilfunker nehmen hingegen weitere Modifikationen an der Software vor, was den Update-Prozess deutlich komplizierter macht – und verzögert. Insgesamt arbeite man derzeit an Patches für mehr als 200 verschiedene Varianten der eigenen Software, betont denn auch Motorola.

Für die Zukunft wolle man Wege finden die Auslieferung kritischer Sicherheitsupdates zu beschleunigen, heißt es. Derzeit arbeite man gemeinsam mit Google und den Netzbetreibern daran, den Update-Prozess für solche Fälle zu vereinfachen.

Hintergrund

Die Lücken in Stagefright wurden von den Sicherheitsexperten von Zimperium aufgespürt. Über das schwerste der Probleme lässt sich das Media Framework zum Absturz bringen, und in Folge – unter gewissen Voraussetzungen – Code einschmuggeln. Einer der möglichen Angriffswege ist dabei über eine präparierte Videodatei, die per MMS an eine Zielperson geschickt wird. Da diese bei vielen Smartphones von Haus aus verarbeitet werden, muss das Video auch gar nicht betrachtet werden, damit der Angriff funktioniert. Als Ausweg gegen solche Attacken empfiehlt Motorola das automatische Herunterladen von Videos in den jeweiligen App-Einstellungen zu deaktivieren.

Nicht nur MMS

Da es sich dabei aber um einen grundlegenden Fehler im Media Framework handelt, sind theoretisch auch Angriffe auf vielen anderen Wegen denkbar. Etwa über in Webseiten eingebettete Videos oder mittels Mail-Anhängen.

Betroffen oder nicht?

Von den Bugs sind prinzipiell alle Geräte von Android 2.2 bis 5.1.1 betroffen. Eine wirkliche Sicherheitslücke ist das Ganze – derzeit – allerdings nur auf einem Teil davon. In den aktuellen Versionen des Betriebssystems vorhandene Sicherheitsmaßnahmen verhindern, dass ein Exploit jenseits von Laborbedingungen funktioniert. Akut gefährdet sind derzeit also "nur" jene Geräte mit Android 4.0 und früher. Das sind allerdings noch immer 9 Prozent sämtlicher im Umlauf befindlichen Android-Geräte. Erst wenn es jemand schaffen sollte, Sicherheitsmaßnahmen wie Address space layout randomization (ASLR) auszutricksen und mit dem aktuellen Exploit zu kombinieren, werden die Lücken in Stagefright auch für die restlichen Geräte schlagend. So nicht die Hersteller zuvor schon ihre Geräte mit der aktuellen Update-Runde abdichten. (Andreas Proschofsky, 10.8.2015)

  • Ob Moto X, Moto G oder Moto E – alle sollen sie Updates bekommen, mit denen die Lücken im Android Media Framework Stagefright geschlossen werden sollen.
    foto: bebeto matthews / ap

    Ob Moto X, Moto G oder Moto E – alle sollen sie Updates bekommen, mit denen die Lücken im Android Media Framework Stagefright geschlossen werden sollen.

Share if you care.