Android-Updates

Editorial: Ich fordere jetzt mal Gewährleistung

Android-Lücken werden monatelang nicht gepatcht: Müssen Verbraucher sich das gefallen lassen?
Von

Stagefright 2.0: Gibt es Gewährleistung? Stagefright 2.0: Gibt es Gewährleistung?
Bild: dpa Seit April und Mai weiß Google dank Informationen durch die Sicherheitsfirma Zimperium zLabs von mehreren Lücken in ihrem Betriebssystem Android. Ende Juli wurden diese öffentlich gemacht. Inzwischen gibt es mit Stagefright 2.0 bereits den Nachfolger der Sicherheitslücke, die geschätzt mindestens eine Milliarde Androiden betrifft. Dennoch ist auf den meisten Smartphones noch nicht einmal das Original-Stagefright gepatcht.

Vom Prinzip her dürfte man daher die meisten Android-Smartphones nicht mehr verwenden. Denn es reicht eine schädliche Multimedia-Datei, um ein Smartphone per Stagefright-Lücke mit einem Trojaner zu infizieren. So ein Trojaner könnte dann alle Gespräche aufzeichnen, alle Nachrichten mitlesen, verdeckt teure Nummern (Servicerufnummern, Kurz-SMS) anwählen und dergleichen mehr. Und das perfide: Für die Infektion muss die Audio- oder Video-Datei noch nicht einmal vom Nutzer abgespielt werden. Es reicht, dass sie auf dem Smartphone ankommt, da viele Nachrichten-Clients die Dateien schon zum Zeitpunkt des Eintreffens mit der Stagefright-Bibliothek analysieren, um zum Beispiel eine Vorschau der Nachricht auf dem Sperrbildschirm zu ermöglichen. Vom Prinzip her lässt sich daher mit Stagefright ein Android-Smartphone kapern, ohne, dass der Nutzer eine Aktion ausführt, ohne, dass er etwas bemerkt, und ohne, dass er etwas dagegen unternehmen kann.

Insbesondere ist der Standard-MMS-Client von Android betroffen. Die Deutsche Telekom hat in ihrem Mobilfunknetz daher die Auslieferung von MMS bereits geändert: Sie werden nicht mehr automatisch zugestellt, sondern müssen nun explizit abgeholt werden. Dem eh schon nicht sonderlich erfolgreichen MMS-Dienst könnte das den Rest geben, weil auch Bestandsnutzer zu Whatsapp & Co. wechseln. Aber auch diese Nachrichten-Apps sind verwundbar.

Klar gibt es mitigierende Faktoren. Wahrscheinlich würden WhatsApp & Co. recht schnell darauf aufmerksam werden, sollte plötzlich ein Sturm von Stagefright-Exploit-Nachrichten über ihre Server laufen. Aber eine einzelne Exploit-Nachrichten, die zum Beispiel von einem Industriespion an eine zu observierende Person gesendet wird, wird in der Mehrzahl der Fälle nicht auffallen.

Katastrophale Update-Versorgung

Stagefright 2.0: Gibt es Gewährleistung? Stagefright 2.0: Gibt es Gewährleistung?
Bild: dpa Nun sind wir es als Nutzer schon lange gewohnt, dass wir den PC regelmäßig updaten müssen, um die in den letzten Wochen bekannt gewordenen Sicherheitslücken zu stopfen. Das hilft zwar nicht gegen Zero-Day-Exploits, wenn der Schadcode erscheint, noch bevor die Sicherheitslücke überhaupt bekannt ist. Zum Glück machen Zero-Day-Exploits nur einen sehr kleinen Teil der verteilten Malware aus. Bekanntester Einsatz eines Zero-Day-Exploits dürfte das Virus Stuxnet sein, mit dem der US-Geheimdienst jahrelang das iranische Programm zur Urananreicherung sabotierte.

Als "Normalnutzer" ist man hingegen vor allem von solchen Exploits bedroht, die auf bereits bekannte Sicherheitslücken aufsetzen. Diese werden von Crackern nach dem Schrotschussprinzip verteilt: Wenn man nur genügend Angriffe verschießt, wird man schon ein paar Systeme treffen, die nicht aktualisiert sind, und wo auch keine weiteren Hürden (z.B. ein wachsamer Benutzer oder ein Virenscanner) den Angriff abwehren.

Entsprechend wichtig wäre es, dass die Smartphone-Hersteller zügig Updates gegen die wichtigsten Sicherheitslücken verteilen. Doch die Hersteller sind im Android-Lager offensichtlich vor allem damit beschäftigt, neue Modelle mit neuen Features herauszubringen. Folglich erscheinen die neuen Spitzenmodelle meist mit den neuesten Android-Versionen oder werden binnen einiger Wochen aktualisiert. Aber schon ein Jahr später schwächelt die Update-Versorgung meist bereits, und man wartet mehrere Monate auf Aktualisierungen. Besonders schlimm: Die Wartezeit betrifft nicht nur das Update auf die jeweils aktuelle Android-Version. Auch sicherheitskritische Updates werden nur mit erheblichem Verzug verteilt.

Derzeit liegt hier die Hauptaktivität noch auf Angriffen gegen PCs. Angesichts der rasant wachsenden Zahl an Smartphones - pro Jahr werden über 1 Milliarde Smartphones verkauft, aber "nur" ein Drittel so viele PCs und Laptops - ist es nur eine Frage der Zeit, bis sich die Cyberkriminellen umorientieren, und auch massenhaft Smartphones angreifen. Auch die hohe Laufzeit - die meisten Smartphones sind rund um die Uhr in Betrieb - und die bereits genannte schlechte Update-Versorgung sollten Angriffe auf Smartphones für die Bad Guys interessant machen.

Händler in der Pflicht!?

Nun ist die Rechtslage in Deutschland eigentlich eindeutig: Wer eine Ware verkauft, haftet zwei Jahre lang auf Beseitigung aller Mängel, die zum Zeitpunkt des Verkaufs bereits im Gerät vorhanden waren. Zwar obliegt dem Käufer der Nachweis, dass ein Mangel seit Anfang an vorhanden war, wenn er sich mehr als sechs Monate nach dem Kauf auf Gewährleistung beruft. Wenn, wie bei Stagefright der Fall, der Fehler auch in jahrealten Android-Versionen auftritt, ist der entsprechende Nachweis aber leicht zu führen.

Der Verkäufer oder Händler ist also gesetzlich verpflichtet, alle innerhalb der zweijährigen Gewährleistung bekannt werdenden Firmware-Mängel zu beseitigen. Kann der Händler einen solchen Fehler auch nach Setzung einer Nachfrist nicht beseitigen, hat der Kunde das Recht auf Schadensersatz, Minderung des Kaufpreises oder Rücktritt vom Vertrag. Letzteres bedeutet, dass der Kunde die nicht mehr reparierbare Ware zurückgibt und der Händler den Kaufpreis zurückerstatten muss. Für normale Abnutzung - das Gesetz spricht von der durch die "bestimmungsgemäße Ingebrauchnahme entstandene Verschlechterung" - muss im Fall des Mängelrücktritts nach § 346 BGB kein Wertersatz geleistet werden.

Aber selbst, wenn der Kunde nur Minderung wegen der fehlenden Updates verlangt, könnten dadurch erhebliche Kosten auf den Verkäufer zukommen. War ein Smartphone wegen berechtigter Sorge um die Datensicherheit wegen ausgebliebener Updates lange Zeit nur eingeschränkt nutzbar, sollten schnell 50 Prozent oder noch mehr des Kaufpreises zurückgefordert werden können.

Angesichts der m.E. recht eindeutigen Rechtslage verwundert, dass man nur wenig von entsprechenden Prozessen hört. Die Chance, die Hälfte des Kaufpreises eines genutzten Android-Smartphones zurückzubekommen, sollte doch den einen oder anderen Smartphone-Nutzer zu einer entsprechenden Klage treiben. Klar wäre der Händler eigentlich der falsche Adressat für Fehler, die der Hersteller zu beseitigen hat. Nur würden die Händler den Druck sofort an die Hersteller weitergeben, wenn sie sich massenhaft mit Forderungen nach Minderung und Vertragsrücktritt wegen nicht behobener Sicherheitslücken konfrontiert sehen.

Übrigens: Mängelbeseitigung bleibt Mängelbeseitigung. Die Hersteller sind also nicht verpflichtet, die jeweils neuesten Betriebssystemversionen auf ihre Smartphones zu portieren. Sie müssen aber die bekannt gewordenen Sicherheitslücken patchen, zum Beispiel, indem sie die Updates von der neuesten Android-Version auf die vorinstallierte Android-Version rückportieren. Solche Backports sind zwar ein gewisser Aufwand. Aber dieser muss von den Smartphone-Herstellern erbracht werden, um die gesetzlichen Gewährleistungsansprüche der Käufer zu erfüllen.

Mehr zum Thema Sicherheit