Stagefright 2.0 – Schmeißt eure Android-Geräte weg

Sie sind alle betroffen. Ausnahmslos alle von Version 1.0 bis mindestens 4.4.4 von Android. Neuere sind nur betroffen, wenn kein Patch kam. Da einige Smartphone-Buden es weiterhin nicht für notwendig erachten, so eine kritische Sicherheitslücke wirkungsvoll zu schließen, können all die Geräte von den Herstellern einfach mal weggeschmissen werden. Man ist ja eh nicht sicher. Diesmal ist nicht nur die Bibliothek libstagefright betroffen, sondern auch die Bibliothek libutils. Also reißt man größere Löcher, oder wie soll ich das verstehen?

Es zeigt sich mal wieder, wie fahrlässig Smartphone-Hersteller, die einen Haufen Geld für ihren Kram verlangen, mit der völlig verkackten Verbullshittung von Android umgehen. Wie viele Geräte sind trotz gewissenhafter Nutzer nicht aktualisiert, weil die Herrschaften in den Elfenbeintürmen der Smartphone-Buden lieber Geld scheffeln wollen, als dem Kunden zu dienen? Wenn selbst LG nichts aktuelles an Updates hat, weiß man ja, dass das überall nicht weit her ist.

Und wieder ist es möglich, dass das Mediensystem Stagefright ausgehebelt werden kann. Mit manipulierten MP3 / MP4 Dateien kann aus der Ferne Code ausgeführt werden. Die Lücken sind in den beiden Bibliotheken zu finden. Die Gefahr lauert nicht beim Abspielen, sondern beim Verarbeiten von Daten wie Datum, Länge, Auflösung und so etwas. Und diese Metadaten haben nun einmal etwas mit den Bibliotheken libstagefright und libutils zu tun.

Ich habe mal den Stagefright Detector auf ein Gerät gepappt. Der wurde mir empfohlen. Und ja, es wurde eine Sicherheitslücke festgestellt. Nun wissen Sie ja, wie das ist: Die einen Warnsysteme warnen, die anderen nicht. Was mache ich denn nun mit der Information auf dem Gerät, was ich zum Testen hergenommen habe? Die Warnung sagt aus, dass die erste Lücke nicht geschlossen wurde. Denn die rote ID weist auf die ursprüngliche Warnung aus dem August hin.

Mal eine ganz blöde Frage: Was machen eigentlich die angeblichen Entwickler bei den Smartphone-Buden? Für das getestete Gerät – ein HTC One M8 – wurde ein Patch wegen der Stagefright-Lücke ausgeliefert. Und dann schließt der nicht mal die Lücke? War also das Update nur Show? Was denken die sich eigentlich?

Leute, schmeißt eure Android-Smartphones weg. Die Hersteller sind nicht dazu in der Lage, die Systeme sicher und aktuell zu halten. HTC ist nur ein Beispiel, wo der Detector mal eben zugeschlagen hat. Samsung oder sonstwer könnte genauso schlampig arbeiten. Das geht so nicht, wenn man für die Teile so einen Haufen Geld verlangt.

4 Replies to “Stagefright 2.0 – Schmeißt eure Android-Geräte weg”

  1. „Die Hersteller sind nicht dazu in der Lage, die Systeme sicher und aktuell zu halten.“ – In der Lage sind sie (hoffe ich mal ;)), nur ich denke die haben keine Lust. Da der Standard-Benutzer sich nicht im solche Dinge schert wird er davon wenig bis nichts mitbekommen (weder von der Lücke noch vom Patch) und somit kostet es den Unternehmen nur die Lücken zu schließen.
    Insgesamt ist Androids/Googles Update-Politik mehr als fragwürdig, daher kann ich dem Tipp „schmeißt eure Android-Smartphones weg“ höchsten hinzufügen, dass man auf alternative ROMs umsteigen könnte (da kommen Updates wenigstens schneller).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert