#Android Sicherheitsdirektor Adrian Ludwig sprach auf der RSA Sicherheitskonferenz in San Francisco und belegte mit Zahlen, dass es für die #Stagefright Sicherheitslücke praktisch kaum bestätigte Fälle gibt, in denen Geräte infiziert waren. Während etwa 95% aller Geräte potenziell von diesem Bug betroffen waren, wurde bei keinem tatsächlich diese Sicherheitslücke ausgenutzt.

Letztlich gab es schon häufiger in der Vergangenheit derartige Sicherheitslücken, die in den Medien starke Wellen schlugen, in der Praxis jedoch kaum bis gar nicht von Hackern und Kriminellen missbraucht wurden. 2013 waren etwa 99% aller Android Geräte von einer solchen Lücke betroffen, aber bei lediglich 8 Geräten pro 1 Million wurde in der Praxis diese dann auch ausgenutzt.

Werbung
Werbung

Später 2014 gab es erneut eine Lücke, bei der circa 82% der Geräte betroffen waren - hier gab es circa 1 Gerät pro 1 Million, was letztlich infiziert wurde.

Google Play Services sind wichtig im Kampf gegen Malware

Adrian Ludwig bezieht sich bei seinen Aussagen auf Geräte, bei denen #Google Play Services installiert ist. Dies schließt damit eine Vielzahl an Geräten in China aus, die ohne Google Play Services verkauft werden. Das ist insofern wichtig zu wissen, da Google in diesen Diensten ein Antivirus Feature implementiert hat, dass wie ein Antimalware Programm am PC funktioniert.

Letztlich beschuldigt Ludwig die Öffentlichkeit nicht, diese Schwachstellen überbewertet zu haben. Vielmehr habe man damit geholfen, diese schnell zu fixen. Dies fällt einigen Herstellern wie Blackberry leichter als anderen OEMs.

Werbung

Meine Meinung: Dadurch, dass die Android Landschaft durch die verschiedenste Hardware sehr heterogen und durch die Androidversionen stark fragmentiert ist (im Vergleich zu Apple und seinen Iphones), wundern diese starken Zahlen doch sehr. Und das man die Medien jetzt sogar lobt, da man durch diese Öffentlichkeitsdebatten das Betriebssystem Android insgesamt ja nur verbessert, finde ich sehr gut. Dennoch sollte sich jeder kritisch hinterfragen, ob die Panikmache, wie sie bei einigen Sicherheitslücken betrieben wurde, angebracht war. Insbesondere, weil man bei Bekanntwerden einer Lücke noch nicht genau weiß, wie wahrscheinlich es ist, dass diese auch wirklich missbraucht wird.