Warum die Stagefright-Bedrohung der Sicherheit unter Android hilft [Analyse]

Amir Tamannai 5

Android ist unsicher, regelmäßige Android-Updates für alle sind faktisch nicht vorhanden, die Verantwortlichen dahinter ein diffuses Konglomerat bestehend aus Google, Geräteherstellern und Mobilfunk-Providern, die sich gegenseitig den Schwarzen Peter zuschieben. So weit, so richtig. Bisher – denn die Bedrohung durch die Sicherheitslücke Stagefright scheint die Macher hinter den Kulissen endlich auf einen gemeinsamen Nenner zu bringen: Schnelle und regelmäßige Sicherheitsupdates für alle.

Warum die Stagefright-Bedrohung der Sicherheit unter Android hilft [Analyse]

Ein Gespenst geht um in der Android-Welt – das Gespenst der Sicherheitslücke Stagefright. Alle Mächte der Android-Welt haben sich zu einer heiligen Hetzjagd gegen dies Gespenst verbündet, Google und Samsung, LG und Sony, internationale Security-Unternehmen und deutsche Provider – es ist erstaunlich, wie gut diese abgewandelten ersten Worte des Kommunistischen Manifests, die eigentlich von der inzwischen gescheiterten politischen Utopie und ihren frühen Gegnern berichten, auf die aktuelle Entwicklung rund um die millionenfache Bedrohung von Android-Geräten durch den Exploit Stagefright zutreffen.

Warum auch immer das ausgerechnet jetzt geschieht und bei vergangenen Bedrohungen ähnlicher Art ausblieb – zur Stunde jedenfalls scheinen sämtliche Android-Akteure plötzlich sehr daran interessiert zu sein, das Sicherheitsloch schnell und effektiv zu stopfen: Die Telekom hatte Anfang der Woche angekündigt, den automatischen Download von MMS vorübergehend zu deaktivieren, Google arbeitet an Patches und verspricht gleichzeitig, die Nexus-Geräte künftig monatlich mit Sicherheits-Updates zu versorgen. Ja, selbst die großen OEMs Samsung und LG kündigen ebensolche Maßnahmen für ihre Geräte an, während Sony und HTC wenigstens schnelle Stagefright-Patches versprochen haben.

Bislang kaum Interesse seitens der Hersteller an Updates

Das Problem mit generellen Updates für Android war und ist bislang, dass eben jeder Hersteller sein eigenes Software-Süppchen kochen möchte und sich damit so seine Zeit lässt. Dazu kommt, dass Updates für Geräte mit Branding noch durch eine zeitraubende Kontrolle bei den Mobilfunkanbietern müssen (insbesondere in den USA). All diese Zeiträume akkumulieren sich unnötig, weil ein bereits verkauftes Gerät eben keine Entwicklungspriorität genießt und der Image-Schaden, den Android als OS dadurch davonträgt, entweder bislang nicht erkannt oder, noch schlimmer, in Kauf genommen wurde. Wer die neuen Features der neuen Betriebssystemversion möchte, soll sich halt ein neues Gerät zulegen, lautet das aus kaufmännischer Sicht durchaus nachvollziehbare, aber natürlich nicht offen kommunizierte Credo der OEMs und Provider, die an Software-Updates nichts verdienen. Und wichtiger als ein aktuelles OS ist mehr Nutzern als man denkt tatsächlich das vertraute TouchWiz- oder Sense-UI-Feeling auf dem Gerät.

Für Features und kosmetische Neuerungen war diese Handhabe bislang zwar ärgerlich und maximal in den Zahlen der Statistiker und Augen der iOS-Fraktion dramatisch, am Markt funktionierte das Konzept aber; auch wenn Google als für die Qualität und den Ruf Androids verantwortliche Partei, das Treiben mit Argwohn beobachtete, anprangerte – und schlussendlich zwar Symptome lindern, aber nicht die Ursache bekämpfen konnte.

Bilderstrecke starten
18 Bilder
Android-Versionen: Das Google-Betriebssystem.

Sicherheits-Updates sind zwingend nötig – für alle Geräte

Das hat nun Stagefright für Mountain View besorgt, wenigstens in Ansätzen: Die schiere Dimension und Verbreitung des Exploits sowie die aufkommende negative Berichterstattung darüber, möglicherweise gepaart mit den sich in der Vergangenheit häufenden Berichten über Sicherheitslücken im Android OS, die oftmals seitens Google im AOSP bereits gefixt waren, aber von den Herstellern nicht an ihre Geräte verteilt wurden, scheint alle Beteiligten aus ihrer Ignoranz gerissen und zum zügigen Handeln veranlasst zu haben.

Wenn das Erbe Stagefrights also sein sollte, dass Google, die OEMs und die Provider endlich verstanden haben, das regelmäßige Updates ein OS nicht nur schicker und funktionaler, sondern vor allem sicherer machen und dass das wiederum ein Dienst am Kunden ist, der nicht einfach aus Kosten-Nutzen-Gründen verweigert werden kann, dann hat Stagefright Android und uns Nutzern einen großen Gefallen getan (und ich entschuldige mich an dieser Stelle bei allen, bei denen der Exploit tatsächlich Schaden angerichtet haben sollte, für diese zynische Formulierung).

Sicher ist allerdings auch: Kosmetische Updates und schnelle Aktualisierungen auf neue Betriebssystemversionen wird es deswegen zukünftig in der zerstückelten Android-Sphere nicht geben. Und es bleibt abzuwarten, ob die Hersteller und Provider ihre derzeitigen Versprechen auch wirklich dauerhaft einlösen. Falls ja, dann werden aber die Möglichkeiten, die Android zur modularen Aktualisierung inzwischen bietet, endlich zum Wohle und vor allem zur Sicherheit von uns Nutzern eingesetzt. Schade, dass uns das erst Stagefright bescheren musste.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung