Stagefright-Lücken in Android: Geräte-Hersteller lassen Nutzer im Unklaren
Samsung, LG, Sony und weitere Hersteller können immer noch nicht sagen, wann sie für welche Modelle Updates mit einem Bugfix für die Stagefright-Lücke herausbringen. Nur Acer und Google verraten Details.
Adrian Ludwig von Google auf der Blackhat-Konferenz.
Die großen Smartphone-Hersteller nennen immer noch keine Details zu ihren Sicherheitsupdates, die die Stagefright-Lücke schließen sollen. Samsung, HTC, LG, Sony und vier weitere große Marken konnten auf Anfrage von heise online nicht sagen, für welche Smartphones und Tablets sie Updates veröffentlichen wollen. Auch zu den geplanten Update-Terminen gab es keine Auskunft. Die Anfragen wurden am Mittwoch gestellt.
Halbwegs konkrete Informationen haben bislang nur Acer und Google veröffentlicht. Googles Android-Sicherheitschef Adrian Ludwig zeigte während seines Vortrags auf der Blackhat-Konferenz eine Folie mit Update-Ankündigungen – und zwar nicht nur für Googles Nexus-Geräte, sondern auch für jüngere Highend-Smartphones von Samsung, HTC, LG und Sony. Sie sollen im August versorgt werden. Außerdem werde es Sicherheitsupdates für "hunderte weitere Geräte" geben. Acer nannte auf Anfrage von heise online eine Liste von geplanten Updates (siehe unten).
Google und Samsung haben außerdem angekündigt, Sicherheitsupdates künftig monatlich auszuliefern. LG plant dasselbe, berichtet Wired. Allerdings hat bisher nur Google verraten, welche konkreten Modelle diese monatlichen Updates erhalten und wie viele Jahre sie versorgt werden sollen.
Google hat bereits seit April und Mai Kenntnis von den einzelnen Stagefright-Lücken. Wann genau Google die Hersteller informierte, ist unklar – die meisten wissen aber vermutlich schon seit mehreren Monaten Bescheid.
| Von Google für August versprochene Stagefright-Patches | |||||
| Hersteller | Samsung | HTC | Sony | LG | |
| Modelle | Nexus 4, Nexus 5, Nexus 6, Nexus 7 (V2/2013), Nexus 9, Nexus 10 | Galaxy S6, Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3, Note 4, Note 4 Edge, Note 3 | One M9, One M8, One M7 | Xperia Z4, Xperia Z3, Xperia Z3 Compact, Xperia Z2 | G4, G3, G2 |
Die Antworten der Hersteller auf die Fragen von heise online nach konkreten Modellen und Update-Terminen:
Acer
"Von der Stagefright-Sicherheitslücke sind folgende Acer Smartphones betroffen: E3, E600, E700, Jade, Jade Plus, Jade Z Plus, Z200, Z410, Z410 Plus, Z500, Z500 Plus, Z520, Z520 Plus. Bis Ende August wird für diese Geräte ein Over-the-Air Update (OTA-Update) zur Verfügung stehen, um die Lücke zu schließen."
Huawei
"Huawei hat das aktualisierte Patch für Android 4.4 oder höher von Google erhalten. Um unseren Kunden jederzeit das bestmögliche Nutzererlebnis bieten zu können, haben wir Softwareanpassungen entwickelt, um jedes betroffene Modell updaten zu können. Aktualisierte Patches für Geräte mit Android 4.3 oder darunter sind bisher noch nicht verfügbar. Huawei und Google arbeiten jedoch bereits aktiv daran."
Samsung
"Google hat uns über das Problem informiert und wir arbeiten bereits daran, so bald wie möglich ein Software-Update zur Verfügung zu stellen."
LG
"LG wurde von Google über die Sicherheitslücke informiert, und wir haben Patches für die meisten der betroffenen LG-Geräte erhalten. Ein Update für alle neuen LG-Smartphones ist in Vorbereitung."
HTC
"Wir wurden von Google über die Sachlage informiert und haben die zur Behebung notwendigen Patches erhalten. Mit der Auslieferung dieser Patches haben wir seit Anfang Juli begonnen. Der Patchcode wird in allen zukünftigen HTC-Updates enthalten sein."
Sony
"Wir haben bereits die Patches von Google erhalten, um das Problem schnellstmöglich zu beheben. Als Teil des Standard-Vorsorgeverfahrens werden die Patches für die Xperia Geräte über unsere Handelspartner als Teil der normalen Softwarewartung verfügbar sein – die ersten Geräte werden innerhalb der nächsten paar Wochen mit dem Update ausgestattet."
[Update, 7.8., 17 Uhr] Inzwischen hat auch Lenovo auf die Anfrage von heise online geantwortet:
Lenovo
"Lenovo hat Patches von Google erhalten und in alle neuen Produkte integriert, die in Zukunft ausgeliefert werden. Eine Anzahl von Geräten, die bereits verwendet werden, wird bis Ende August ein Over-the-Air-Update mit den Patches erhalten. Für zusätzliche Geräte werden die Patches in den darauffolgenden Wochen erhältlich sein [...] Wir arbeiten weiterhin daran, alle unterstützten Lenovo-Geräte, die für Updates in Frage kommen, mit den geeigneten Patches zu versorgen." [\Update]
[Update, 10.8., 13 Uhr] Auch Motorola hat nun geantwortet:
Motorola
"Alle von uns Ende Juli angekündigten Smartphones werden den StageFright-Patch bereits in der Software integriert haben. Darüber hinaus haben wir bereits damit begonnen, den Patch in zahlreichen weiteren kürzlich veröffentlichten Lollipop-Updates zu integrieren, zu testen und auszuliefern. Der Patch wird ebenfalls bereits im Android M-Upgrade enthalten sein. Bitte beachten Sie, dass über das Wochenende auch auf den Customer Care-Seiten von Motorola nochmals weitere Detailinformationen zum Thema gepostet wurden."
[\Update]
Von Asus erhielt heise online bislang keine Antwort. (cwo)
