Seit vergangener Woche ist klar: In Googles Android-Betriebssystem klafft eine Sicherheitslücke immenser Brisanz. Denn bei der vom amerikanischen IT-Sicherheitsdienstleister Zimperium publik gemachten Schwachstelle „Stagefright“ können Angreifer die Kontrolle übers Handy übernehmen, ohne dass der Nutzer das bemerkt oder etwas dagegen tun könnte. Um Android-Smartphones mit dem Schadcode zu infizieren, reicht es, eine entsprechend präparierte Multimedia-Nachricht (MMS) an das Handy zu schicken, die das Gerät dann selbstständig ausführt – und sich dabei mit dem digitalen Schädling infiziert. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt inzwischen mit Hinweis auf den hohen Gefährdungsgrad vor der Schwachstelle.
In seinem Firmen-Blog spricht Zimperium daher von einem „Einhorn“, einer in ihrer Tragweite geradezu einzigartigen Schwachstelle, die man in Android gefunden habe. Und tatsächlich ist das kaum untertrieben. Denn die meisten bisher entdeckten Schwachstellen erforderten aktives Zutun des (unbedachten) Anwenders, um den Schädling aufs Telefon zu laden (à la „Klicken Sie hier um den Video-Player zu installieren“). Bei Stagefright dagegen reicht – neben der Empfang einer mit Schadcode geimpften MMS – wohl auch der Besuch von entsprechend präparierten Web-Seiten, wie der Antiviren-Spezialist TrendMicro demonstriert hat. Die Schwachstelle betrifft laut ihrem Entdecker Joshua Drake alle Android-Varianten ab Version 2.3 – nach vorläufigen Hochrechnungen sind damit rund 950 Millionen Android-Handys weltweit mehr oder minder stark gefährdet. Auf der IT-Sicherheits-Konferenz Black Hat hat Drake demonstriert, wie sich die Geräte infizieren lassen.
Vom Sicherheits-Problem zum Sicherheits-Skandal
Die Sicherheitslücke alleine wäre schon dramatisch genug. Doch wie Android-Mutterschiff Google mit dem Problem umgeht, lässt das Sicherheits-Problem zum Sicherheits-Skandal werden. Zwar hat das Unternehmen am 5. August angekündigt, die Softwarelücke auf seinen eigenen Smartphones Nexus 5 und Nexus 6 kurzfristig zu stopfen, die übrigen Nexus Modelle kurz darauf ebenfalls zu aktualisieren und künftig monatlich Sicherheits-Updates für seine eigenen Geräte zu publizieren und diese auch für die lizenzfrei nutzbare Betriebssystemversion des sogenannten Android Open Source Projects (ASOP) bereitzustellen. Zusätzlich hat Google, das von Zimperium bereits Mitte April über das Problem informiert wurde, die Reparatursoftware auch seinen Hardwarepartnern angeboten, die Android-Smartphones vertreiben. So weit – so gut.
Google in Zahlen
Der Umsatz des Internet-Giganten lag im vierten Quartal 2014 bei 18,1 Milliarden Dollar. Den größten Teil seiner Umsätze (12,4 Milliarden Dollar) erzielte Google dabei auf den eigenen Seiten, den Rest (3,7 Milliarden Dollar) auf den Webseiten von Geschäftspartnern.
Wenn es um das Geldverdienen geht, ist Google quasi ein „One-Trick Pony“, also ein Zirkuspferd, das nur einen einzigen Trick beherrscht, nämlich Werbung. Von den 18,1 Milliarden Dollar Umsatz im vierten Quartal 2014 entfielen gut 16,1 Milliarden auf Online-Werbung.
In der Google-Bilanz wird neben Online-Werbung nur noch ein Umsatz-Segment mit dem Namen „Other“ (Anderes) aufgelistet. Hinter diesen Umsätzen von knapp zwei Milliarden Dollar, die Google nicht weiter aufschlüsselt, stehen nach Experten-Einschätzung vor allem die Gebühren aus dem Play Store, die der Internet-Riese von den Entwicklern von Android-Apps und Unterhaltungsanbietern verlangt.
Google Suche, G-Mail, Google Maps, der Online-Speicher Google Drive, das Smartphone-Betriebssystem Android mit dem App-Store Google Play: Die Liste der Google-Dienste wird von Jahr zu Jahr länger. In seinen geheimen Labs arbeitet der Konzern außerdem bereits an weiteren Produkten wie einem selbstfahrenden Auto oder Heißluft-Ballons, über die auch entlegene Gegenden mit Internet-Zugängen versorgt werden sollen.
Denn damit hat es sich nach Google-Vorstellung offenbar. Ob und wann welcher Hersteller den Sicherheits-Patch an seine eigenen Kunden weiter gibt, darauf habe man keinen Einfluss, heißt es bei Google.
Das ist richtig und falsch zugleich. Richtig, weil einerseits die Android-Welt geradezu erschreckend fragmentiert ist. Das zeigt ein Blick auf die Auswertung des OpenSignal-Projektes, das im laufenden Jahr bereits mehr als 24.000 unterschiedliche Android-Geräte identifiziert hat. Einen direkten Durchgriff auf die Software aller Modelle ist da tatsächlich kaum drin.
