Mit Superlativen kann man Google manchmal noch aus der Reserve locken. Die Stagefright-Sicherheitslücke, von ihrem Entdecker Josh Drake wahlweise "Einhorn im Herzen von Android", "Mutter aller Android-Verwundbarkeiten" oder "Schlimmste Android-Sicherheitslücke in der Geschichte mobiler Betriebssysteme" genannt, hat Folgen.

Zwar nannte Googles Sicherheitschef für Android, Adrian Ludwig, die Warnungen von Drake übertrieben. Dessen Vermutung, bis zu 95 Prozent aller Android-Geräte könnten über präparierte MMS angegriffen und ausspioniert werden, sei aus verschiedenen Gründen unzutreffend. Dennoch gab Google bekannt, ab sofort jeden Monat Sicherheitsupdates für Android zu verteilen.

Doch es gibt ein Problem mit Android, und das sieht so aus:

Es gibt derzeit mindestens 24.000 verschiedene Android-Geräte.

Der Android-Markt ist fragmentierter denn je. Nach Messungen des Projekts OpenSignal gibt es derzeit mehr als 24.000 verschiedene Geräte, die mit einer Version des Betriebssystems laufen. Google könnte die gar nicht alle selbst mit seinen Sicherheitsupdates versorgen, selbst wenn es das wollte. Das müssten die Hardware-Hersteller zusammen mit den Mobilfunkanbietern tun. Doch das passiert wenn überhaupt, erst spät und nur für bestimmte Geräte.

Google kündigte dementsprechend an, nur die Nexus-Geräte mit dem puren, nicht vom Hardware-Hersteller modifizierten Android mit den regelmäßigen OTA-Updates (over the air) zu versorgen. Nexus-Smartphones und -Tablets sollen nach ihrem Verkaufsstart mindestens zwei Jahre lang größere Updates und mindestens drei Jahre lang reine Sicherheitsupdates erhalten, beziehungsweise bis mindestens 18 Monate nach dem Verkaufsstopp über den Google Store.

Damit setzt Google ein Signal an seine Hardware-Partner. Die Sicherheitsupdates sind ein Wettbewerbsvorteil, die Nexus-Geräte werden damit deutlich attraktiver. Samsung reagierte am schnellsten und versprach, ebenfalls monatliche Updates herauszugeben. Man verhandele derzeit mit Mobilfunkanbietern in aller Welt, um das Modell umzusetzen. Details will Samsung "bald" bekannt geben. 

Stagefright ist nicht nur ein MMS-Problem

Laut Google will auch LG – ohnehin Hersteller der Nexus-Smartphones 4 und 5 –künftig monatliche Sicherheitsupdates verteilen, eine offizielle Bestätigung dafür fehlt aber noch.

Wer ein Custom-ROM wie CyanogenMod nutzt, hat ebenfalls Glück. Google will seine Updates immer auch gleich dem Android Open Source Project (AOSP) zur Verfügung stellen. Der dort hinterlegte und gepflegte Quellcode ist die Basis für CyanogenMod.

Wer hingegen ein Smartphone mit einer älteren Android-Version nutzt, hat Pech gehabt und bleibt unter Umständen angreifbar. Exploits der Stagefright-Lücke dürften trotz der für einige Geräte verteilten Patches schon bald kursieren, zumal das Unternehmen TrendMicro in einem Proof-of-concept gezeigt hat, dass Angreifer sie nicht nur über MMS, sondern auch über präparierte MP4-Dateien auf einer Website ausnutzen können. Josh Drake will sogar elf verschiedene Wege entdeckt haben, die Stagefright-Bibliothek für einen Angriff auszunutzen. Die Einzelheiten gab er auf der Black-Hat-Konferenz in Las Vegas bekannt. Google täte also gut daran, das Stagefright-Einhorn nicht einfach nur ins Reich der Fabelwesen zu argumentieren, sondern den Anlass zu nutzen, mit Herstellern und Providern über eine möglichst breite und schnelle Verteilung von Sicherheitsupdates zu diskutieren.