Über die Frage, wie groß die reale Gefährdung durch die vor einigen Wochen bekannt gewordenen Lücken im Android Media Framework tatsächlich ist, lässt sich sicherlich streiten. Fakt ist aber: Der Vorfall hat ordentlich Bewegung in die Android-Welt gebracht, allen voran bei Google selbst.

Nexus Patch Day

So hat der Android-Hersteller versprochen, künftig monatliche Sicherheitsupdates für die eigenen Nexus-Geräte bereitzustellen, man führt also eine Art Patch Day ein. Dieser Prozess wurde vor einigen Tagen gestartet, nun veröffentlicht Google das passende, erste Nexus Security Bulletin.

Stagefright

Daran zeigt sich: Mit den aktuellen Updates werden insgesamt 21 Sicherheitslücken geschlossen, wobei acht davon als "kritisch" bezeichnet werden. Der allergrößte Teil dreht sich um Fehler in Stagefright selbst oder bei Bibliotheken, die von Stagefright genutzt werden, etwa in Sonivox, das zur Verarbeitung von XMF-Dateien genutzt wird, oder auch in der libpng.

Meist nicht ausnutzbar

In den Advisories betont Google einmal mehr, dass die Lücken zwar in allen Versionen bis Android 5.1 vorhanden sind, sich aber nur bei einem kleinen Teil davon ausnutzen lassen. Die mit Android 4.1 eingeführte Address space layout randomization (ASLR) verhindert ab dieser Version einen erfolgreichen Exploit. Zudem habe man mittlerweile Updates für den Google Messenger sowie für die Hangouts über den Play Store verteilt, die das automatische Weiterschicken von MMS-Inhalten an den Mediaserver Prozess unterbinden.

Umdenken

Interessant ist auch, dass Google mittlerweile eine Neueinschätzung des Schweregrads der Lücken vorgenommen hat. Eine Änderung der Sicherheits-Policys habe dazu geführt, dass einige Lücken, die vorher nur als "hoch" klassifiziert wurden, nun unter "kritisch" geführt werden, heißt es zu diesem Thema.

Vermischtes

Neben den Stagefright-Lücken schließt die aktuelle Update-Runde aber noch einige andere sicherheitsrelevante Bugs. Darunter einen Angriff mittels Wi-Fi Direct, der also im direkten Umfeld vorgenommen werden kann. Allerdings betont Google auch hier, dass dieser aktuell nicht realistisch ausgenutzt werden kann, und die erzielbaren Rechte auf den "wifi"-Nutzer beschränkt sind. Zudem sei Wi-Fi Direct nicht von Haus aus aktiviert.

Patches

Eine weitere Lücke betrifft eine Lücke im SIM Toolkit (STK), über die Anwendungen unter Umständen gewissen Befehle an das Telefonie-Subsystem von Android mitlesen oder manipulieren können. Weitere Details zu all den Lücken finden sich im Posting auf Google Groups, wo auch die passenden Patches verlinkt sind. An die Hardwarepartner waren diese Code-Änderungen schon im Vorfeld weitergereicht worden, damit diese sie in ihre Updates einbauen können. Samsung und LG haben in den letzten Tagen angekündigt, dem Vorbild von Google folgen zu wollen, und künftig ebenfalls monatliche Sicherheitsupdates liefern zu wollen.

State of the Union

Parallel dazu hat Android Sicherheitschef Adrian Ludwig die Slides zu seinem "Android Security State of the Union"-Vortrag auf der Black Hat Sicherheitskonferenz veröffentlicht. Darin liefert er aktuelles Zahlenmaterial zur Verbreitung von Malware unter Android.

PHA

Demnach ist die Zahl jener Geräte, die potentiell gefährliche Apps (PHA) installiert haben, bei rund 0,5 Prozent. Dieser Wert speist sich allerdings praktisch zur Gänze aus Russland und China, wo der Play Store wenig bis gar nicht genutzt wird. Überhaupt ist die Installation aus "unbekannten Quellen" de fakto das Einfallstor für Malware unter Android. Die Zahl von Geräten die ihre Apps ausschließlich aus dem Play Store beziehen und PHA aufweisen, ist hingegen mittlerweile auf Null gesunken. Hier hat Google in den letzten Monaten seine Checks weiter verschärft.

Ausblick

Abzuwarten bleibt, ob dies auch in naher Zukunft so bleiben wird. Immerhin sind die Stagefright-Lücken auf rund 9 Prozent aller aktuellen Android-Geräte ausnutzbar – alles Smartphones und Tablets die angesichts ihres Alters wohl kaum mehr ein Update bekommen werden.

Zuversicht

Ludwig gibt sich jedenfalls zuversichtlich. Es gebe jedes Jahr rund um die Black Hat ähnliche Schlagzeilen, erinnert der Android-Sicherheitschef. Vor einigen Jahren war es etwa die Master Key-Lücke, die 99 Prozent aller damaligen Android-Geräte betraf, und ähnliche Berichte wie jetzt die Stagefright-Bugs hervorrief. Infolge hätte man auch tatsächlich 1231 unterschiedliche APKs gefunden, die versucht haben, diesen Bug auszunutzen. Betroffen seien schließlich aber nur weniger als acht in einer Million Geräte gewesen. (Andreas Proschofsky, 13.8.2015)