Android und die Stagefright-Lücken: Nexus und Galaxy S4

Die Update-Politik unter Android ist bescheiden – gilt sowohl für Google, die Nutzer von Altgeräten im Regen stehen lässt, und erst Recht für andere Hersteller von Android-Geräten. Daher mal ein kurzer Blick auf die Frage: Weist mein Android-Gerät Stagefright-Lücken auf? Und wie schaut es bei Nexus-Geräten und beim Samsung Galaxy S4 aus?


Anzeige

Die Stagefright-Lücke hat ja Millionen Android-Geräte angreifbar gemacht – weil die Gerätehersteller keine Update anbieten. Hier ein paar Links im Blog zum Thema Stagefright und Android-Sicherheitslücken.

Stagefright 2.0: 1 Milliarde Android-Geräte unsicher …
Stagefright-Lücke bedroht 950 Millionen Android-Geräte
BSI warnt vor Android-Sicherheitslücken

Wie teste ich die Sicherheit des Geräts?

Anwendern stellt sich nun die Frage, ob das Gerät (zumindest im Hinblick auf Stagefright) sicher ist und wie man das testen kann. Im Google Play-Store gibt es einige Apps, die Stagefright-Sicherheitslücken erkennen und melden können. Ich habe seit längerem den Stagefright Detector von Lookout Mobile Security und von Zimperium INC im Test.

Ist die App installiert, kann man diese aufrufen und eine Analyse durchführen lassen. Die App meldet dann, ob eine Stagefright-Lücke gefunden wurde. In nachfolgendem Screenshot ist ein angreifbares Gerät gelistet.

Wie schaut es bei den Nexus-Geräten aus?

Beim Google Nexus 4 (ist aus dem Support für Sicherheitsupdates herausgefallen) ergaben sich einige Zeit die im vorherigen Screenshot gezeigten Beanstandungen. Dann wurde mir vor längerer Zeit noch ein Sicherheitsupdate per OTA angeboten.


Anzeige

Als ich dieses letzte OTA-Update installieren ließ, hat die Überprüfung durch den Stagefright Detector folgendes Ergebnis geliefert:

Das Gerät wird also als sicher ausgewiesen. Bei meinem Nexus 7 2013 gibt es bisher Sicherheitsupdates von Google. Dort sind die Stagefright-Lücken ebenfalls geschlossen.

Meine obige Aussage, dass Google die Nutzer im Regen stehen lässt, muss ich also für einige Nexus-Geräte zurück nehmen. Ob dieses Bild so bleibt? Keine Ahnung.

Wie schaut es beim Samsung Galaxy S4 aus?

Hier habe ich noch ein Samsung Galaxy S4 zum Testen verfügbar. Samsung hatte zwar im Herbst ein Update ausgerollt.

Aber nach dessen Installation lieferte mir die Stagefright Detector App die folgenden Ergebnisse.

Das Galaxy S4 war also bisher verwundbar, da es noch eine Stagefright-Lücke aufwies. Ich hatte im Hinterkopf schon den Ansatz geplant, das Gerät auf CyanogenMod umzuflashen. Vor ein paar Tagen wurde mir erneut ein ca. 400 MByte großes Update gemeldet, welches ich am Wochenende installieren ließ. Es ergibt sich dann folgendes Bild der Geräteinformationen in der Einstellungen-App.

Anschließend wurde die obige Buildnummer LRX22C gemeldet. Und nun liefert die Stagefright Detector App von Zimperium folgendes Ergebnis.

Also ist das Galaxy S4 mit dem Januar 2016-Update mit obiger Build-Nummer ebenfalls bezüglich der oben getesteten Stagefright-Lücken gefixt.

Hat mich erneut verblüfft, dass Samsung die Stagefright-Lücken fixt. Zumindest das Samsung S4 wurde noch mit einem Sicherheitsupdate aktualisiert – wenn es auch mehrere Monate dauerte. Ob dieses Bild so bleibt? Keine Ahnung.

Ähnliche Artikel:
Galaxy S5: Angst vor Stagefright? CyanogenMod als Lösung
Google fixt Stagefright 2.0-Lücke in Android
Android-Sicherheit: Lücken, Sicherheits-Update und mehr
Android: November-Update 2015 rollt an – ist aber kompliziert
Android: Gibt uns die nächste Sicherheitslücke im Media Server
Januar 2016 Sicherheitsupdate für Nexus-Geräte
Android-Sicherheit: Stagefright-Exploit veröffentlicht


Anzeige
Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.