Sicherheitslücke »Stagefright« verdeutlicht Defizite beim Patch-Management

logo google stagefright aa»Das Problem, mit dem Google konfrontiert ist, sind nicht die Sicherheitslücken, mit denen beliebte Softwareprodukte ausgeliefert werden. Bei jeder Software gibt es Programmierfehler. Das eigentliche Problem ist die Unterbrechung in der Android-Patch-Pipeline.

Hier gibt es zwei kritische Komponenten, an denen Googles Schwachstellen-Managementprozess problematisch ist. Erstens, ist es extrem schwierig für Google, ebenso wie auch für andere Anbieter, aktualisierte Software zum Nutzer zu übertragen. Selbst Nexus-Geräte, über die Google die direkteste Kontrolle hat, müssen auf das September-Release warten, damit der unzureichende Stagefright-Patch aktualisiert werden kann. Diese Verzögerung zwischen dem Zeitpunkt der verfügbaren Fehlerbehebung und der Verteilung an die Nutzerbasis ist einfach zu lange, um hier Sicherheit gewährleisten zu können. Wenn böswillige Akteure diese Schwachstellen in der Zwischenzeit ausnutzen, können normale Benutzer nichts tun, um sich zu schützen.

Die andere Verzögerung im Stagefright-Feedback-Prozess war Googles Umgang mit Exodus´ Benachrichtigung über den fehlerhaften Patch, wobei nicht rechtzeitig reagiert wurde. Viele Unternehmen kämpfen mit dem Erstkontakt zu den Forschern, wenn es um Schwachstellen-Reporting geht – aber dies ist nicht Googles erster Rodeo-Ritt. Immerhin berichtet Googles Project Zero über Schwachstellen an andere große Anbieter routinemäßig, mit bestimmten Erwartungen an die Kommunikation. Sie müssen in der Lage sein, das, was sie predigen, im Bereich der Android-Nutzer ein wenig besser in die Praxis umzusetzen, damit diese sich sicher sein können, dass Google zuverlässig über die Codebasis wacht.«

Kommentar von Tod Beardsley, Security Engineering Manager bei Rapid7

Weitere Artikel zu