Mit dem jüngsten Update wurden die Stagefright-Lücken nicht vollständig geschlossen und der integrierte Browser ist noch anfällig für die Schwachstelle Logjam. Ansonsten liefert die Aktualisierung die kürzlich zusammen mit dem S6 Edge+ vorgestellten Neuerungen.

Das jüngste Updates für das Galaxy S6 und S6 Edge bringt Funktionen mit, die Samsung ^[1] kürzlich zur Vorstellung seiner Phablet-Versionen Note 5 und S6 Edge+ ^[2] präsentiert hat. Dazu zählt beispielsweise die Möglichkeit, neben Kontakten auch Anwendungen für die seitliche Schnellzugriffsleiste zu konfigurieren. Samsung hat vor wenigen Tagen hierzulande mit der Auslieferung der mit FXXU2COH2 bezeichneten Aktualisierung begonnen, die als Build-Datum 12.8.2015 trägt. Auf einem S6 Edge ist ein Umfang von 245 MByte ausgewiesen.

^[3]

Galaxy-Update LMY47X G925FXXU2COH2 (Screenshot: ZDNet.de)

Samsung unterstützt mit der aktuellen Firmware auf den Galaxy-S6-Modellen mit der Kamera-App die Live-Broadcasting-Funktion für Youtube. Außerdem soll die Audioverstärkereinheit durch UHQ-Upscale einen besseren Klang erzeugen. Neu sind auch die abgerundeten Icons für vorinstallierte Apps. Die Firmware enthält außerdem Unterstützung für Samsung Pay und eine darauf abgestimmte Knox-Version ^[4]. 

Die seit Ende Juli als Stagefright bekannten Sicherheitslücken ^[5] in der Android ^[6]-Multimedia-Bibliothek schließt das Update nicht vollständig. Nach wie vor sind die Schwachstellen CVE-2015-3864 und CVE-2015-3827 für Angreifer zugänglich.

Um die Android-Lücke auszunutzen, muss laut der Sicherheitsfirma Zimperium, die die Stagefright-Lücken entdeckt hatte, ein Video per MMS an ein Gerät gesendet werden. Je nach verwendeter Messaging-App müsse der Nutzer die Nachricht aufrufen, aber nicht unbedingt das Video ansehen. Beim Einsatz von Google ^[7] Hangouts sei sogar eine Infektion beim Empfang selbst möglich, da dieses Programm das Video gleich bei Erhalt dekodiert. Angreifer erhalten durch die Stagefright-Lücken Zugang zu den auf dem Smartphone ^[8] abgespeicherten Daten.

Kurze Zeit nach der Entdeckung durch Zimperium fanden Mitarbeiter von Trend Micro heraus ^[9], dass die Schwachstellen nicht nur über eine MMS ausgenutzt werden können. Auch eine auf einer Webseite platzierte MP4-Datei, die der Nutzer herunterlädt, führt zu einem Heap Overflow, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurde.

^[10]

Galaxy-Update LMY47X_G925FXXU2COH2-s (Screenshot: ZDNet.de)

Eine Folge nach Bekanntwerden der Lücke war auch, dass die Telekom den MMS-Dienst komplett eingestellt hat ^[11]. Mitte August wurden noch weitere Stagefright-Lücken bekannt. Google hat die Hersteller von Android-Smartphones umgehend mit Patches ^[12] versorgt. Diese erreichten Samsung wohl nicht mehr rechtzeitig, um sie in das jetzt veröffentlichte Update, das bereits am 12.8.2015 kompiliert wurde, zu integrieren. Samsung und andere Smartphonehersteller hatten im Zuge der Diskussion um die Stagefright-Lücke Mitte August angekündigt, zukünftig monatliche Sicherheitsupdates zu veröffentlichen.

Darüber hinaus ist der in den Galaxy-Modellen integrierte Browser noch immer anfällig für die im Mai entdeckte HTTPS-Schwachstelle Logjam ^[13]. Diese Lücke hat Google in der für das Darstellen von HTML-Code gedachten Android-Komponente Webview inzwischen geschlossen. Das zeigt auch ein Test mit dem WebView Browser ^[14] auf dem S6 Edge. Trotzdem weist der Test von Sicherheitsanbieter Qualys ^[15] weiterhin den integrierten Samsung-Browser als anfällig aus. Offenbar nutzt er nicht WebView, um Webseiten darzustellen.

[Mit Material von Kai Schmerer, ZDNet.de ^[16]]