Stagefright: Unter diesem Namen sorgte vor rund eineinhalb Jahren eine Reihe von kritischen Lücken in Android für Aufregung in der IT-Presse. Eine simple MMS reiche, um ungeschützte Geräte zu übernehmen – und ungeschützt seien aufgrund der mangelhaften Android-Update-Politik der Hersteller fast alle Geräte mit Googles Betriebssystem. Ein echtes Horrorszenario also, allein: Was folgt war – nichts.

Keine Angriffe

Bis heute gebe es keinerlei bestätigte Attacken gegen Android-Nutzer, die Stagefright-Bugs genutzt haben, betont Google unlängst im Rahmen der RSA Security Conference. Dies obwohl seit den ersten Berichten im Jahr 2015 noch Dutzende weitere kritische Lücken im Mediaserver entdeckt wurden. Mit dem gerade erst vorgestellten März-Update kommen hier etwa alleine noch einmal acht Stück hinzu.

Spurensuche

Über den Grund für das Ausbleiben der Angriffe lässt sich nur spekulieren. Eine Rolle spielt dabei sicherlich, dass die anfänglichen Bugs nicht gar so einfach auszunutzen waren, wie zunächst vermutet. Doch mittlerweile gibt es längst für einige der Bugs relativ zuverlässige Exploits. Insofern dürfte auch ein anderer Faktor eine Rolle spielen: Nämlich, dass Google mit seinem Verify Apps-System, das sämtliche Geräte mit Google Play Services regelmäßig auf Malware scannt, und auch den Play Store schützt, Schadsoftware unter Android bisher auf einem Minimum halten kann.

Vorgeschichte

Dafür sprechen auch andere Zahlen über frühere Sicherheitslücken: So sorgte im Jahr 2013 eine Lücke namens "MasterKey" für Aufregung, die damals 99 Prozent aller im Umlauf befindlichen Android Devices betraf. In diesem Fall gab es zwar tatsächlich Angriffe, die Reaktionen von Google sorgten aber dafür, dass lediglich acht aus einer Million Geräte mit einer entsprechenden Schadsoftware infiziert wurden – und dabei handelt es sich dann auch schon um den bisher erfolgreichsten Angriff gegen eine akute Android-Lücke.

Böse Apps statt echter Malware

Überhaupt zeige die Erfahrung, dass es bisher kaum wirklich komplexe Malware unter Android gebe, betont Android-Sicherheitschef Adrian Ludwig. Wenn von Schadsoftware die Rede sei, gehe es eigentlich fast immer um zweifelhafte Apps, die im Hintergrund ungefragt Daten abgreifen anstatt um echte Trojaner, die ein Gerät komplett übernehmen. Und selbst die Verbreitung dieser Form von bösartigen Apps findet fast zur Gänze jenseits des Play Stores statt.

Disclaimer

An dieser Stelle muss auch eine kleine Einschränkung erwähnt werden: Die Google-Zahlen erfassen nämlich nur jene Geräte, die mit den eigenen Play Services ausgestattet sind. Dies sind zwar in Europa und den USA praktisch alle, in China und Russland sieht es aber beispielsweise mit Malware wesentlich schlechter aus.

Erfreuliche Nebeneffekte

Doch auch wenn die Aufregung rund um Stagefright im Nachhinein überzogen erscheinen mag, so hatte sie auch ihr Gutes. Veranlasste sie Google doch dazu, einen monatlichen Sicherheits-Update-Rhythmus einzuführen. Und diesem haben sich mittlerweile viele große Hersteller verschrieben, auch wenn es hier sicherlich noch vieles zu verbessern gäbe. So gibt es die monatlichen Updates meist nur für die jeweiligen Topgeräte der Hersteller, und auch da nur in einem eng begrenzten Zeitraum.

März

Neben den erwähnten Stagefright-Lücken schließt das März-Update noch eine ganze Reihe von kritischen Fehlern, wobei die meisten davon in Drittkomponenten wie dem Linux-Kernel oder diversen proprietären Treibern zu finden sind. Parallel zum Security Bulletin hat Google mit der Auslieferung von passenden Updates für die Geräte der eigenen Pixel- und Nexus-Reihen begonnen. Auch diverse Dritthersteller liefern bereits die neue Version, oder beginnen mit dem Update in Kürze. (Andreas Proschofsky, 7.3.2017)