Da in letzter Zeit doch recht viele Sicherheitslücken bei Android bekannt geworden sind, habe ich mich gefragt, ob es nicht eine Übersicht gibt, welche davon schon geschlossen sind und für welche Geräte die Fixes verfügbar gemacht/ausgerollt worden sind.
Leider war nicht bei meiner Suche bisher nicht erfolgreich. Nachfolgend eine Liste der Lücken zusammen mit ein paar Detailinformationen, die ich jeweils gefunden habe. Wenn jemand eine gut Übersichtsseite kennt: Bitte teilen 
Stagefright
- heise.de: Stagefright: Android Smartphones über Kurznachrichten angreifbar
- Testen ob das eigene Gerät verwundbar ist: Stagefright Detector App
- Artikel bei AndroidPit
- Telekom schaltet MMS ab
- CyanogenMod Version 12 nicht betroffen; 11 wurde gefixt (CyanogenMod zu installieren wird als mögliche Schutzmaßnahe genannt)
- Sony Xperia Z3 Compact (Amazon) nach letztem Update (Build 23.4.A.1.200) noch angreifbar (siehe Bild)
- Schutzmaßnahme: MMS Empfang deaktivieren (benutzt doch eh‘ kaum noch jemand – die meisten sind wohl zu Threema, WhatApp, o.ä. gewechselt ;-))
Remote-Code-Execution via Mediaserver
- heise.de: Präparierte Videos legen Android-Geräte lahm
- ..alles viel Schlimmer: Heap Overflow & Remote Code Execution
- Patch durch das Android-Security-Team bereitgestellt; verfügbarkeit Abhängig von Hersteller/Provider.
- Schutz:Auch MMS deaktivieren und keine Videos mehr schauen – wobei letzteres schon eine Massive Einschränkung ist. Vielleicht hilft es ja, die Empfehlung durch ein „nur aus vertrauenswürdigen Quellen“ abzumildern?
![:-P]()
IBM: „One Class to Rule Them All“
- heise.de: Android: und noch eine schwere Sicherheitslücke
- Die Lücke (CVE2015-3825) ist mittlerweile durch Google geschlossen worden; jedoch muss man im Auge behalten, ob der Patch auch durch den hersteller oder Provder auf das eigene Smartphone ausgerollt wird.
- Schutz: Nur Apps aus „vertrauenswürdigen Quellen“ (Play Store) installieren – und hoffen das die dort verfügbaren Apps ausreichend geprüft sind.
Certifigate
- Certifi-Gate: Unzählige Android-Geräte fernsteuerbar
- Lücke wird aktiv für exploits genutzt (wer hätte das gedacht!)
- Schutz: Wenn man fürchtet (oder sogar weiss), dass eine der betroffenen Apps installiert ist hilft wohl nur alle Datenverbindungen zu deaktivieren und auf ein Update warten – oder mit einer alternativen Firmware für ein sauberes Grundsystem sorgen.
Außerdem habe ich Sony eine Mail geschrieben mit der Bitte bezüglich des Xperia Z3 Compact Stellung zu den Lücken zu beziehen – und bin gespannt, ob eine Antwort kommt … 