Die neusten Sicherheitslücke bei Android ist sozusagen die böse Schwester von «Stagefright» - und bekommt daher auch den Namen «Stagefright 2.0». Zur Erinnerung: Den ersten «Stagefright»-Hack hatten die Fachleute vor einigen Wochen aufgedeckt. Mit Hangouts- oder MMS-Nachrichten konnte man Android-Geräte knacken und etwa als Wanze nutzen.

Nun hat die Sicherheitsfirma Zimperium eine weitere Schwachstelle entdeckt, die auf dem gleichen Prinzip beruht. Nämlich, dass Dateien über eine Multimedia-Schnittstelle abgespielt werden - und dabei unbemerkt auch ein Schadcode ausgeführt wird.

Das funktioniert laut Zimperium auch mit normalen Mp3-Musikdateien oder Mp4-Videos. Die kann man etwa ganz einfach über WhatsApp zugeschickt bekommen. Es reicht aber auch, dass man auf eine Webseite oder eine App mit einer präparierten Datei gelockt wird. Die Datei müsste dann nicht einmal gezielt geöffnet werden.

Prinzipiell sind wieder rund eine Milliarde Smartphones von der Lücke betroffen. Im schlimmsten Fall kann ein Angreifer die Kontrolle über ein Gerät übernehmen. Die gute Nachricht: Bislang ist nicht bekannt, dass die «Stagefright»-Lücke in grösserem Umfang von Hackern genutzt wird.

Und: Google nimmt das Problem ernst. Für die erste Lücke wurden sofort Patches veröffentlicht. Zudem stellt der Internet-Riese auf monatliche Sicherheits-Updates um. Automatisch erhalten diese aber nur die eigenen Nexus-Geräte. So gibts nächsten Montag ein Update, mit dem die«Stagefright 2.0»-Lücke geschlossen wird.

Alle anderen Nutzer sind auf den Hersteller ihres Android-Telefons angewiesen. Die schreiben Updates oft viel langsamer oder gar nicht für ihre Android-basierte, eigene Software um. So sind viele Geräte noch nicht mal gegen die erste «Stagefright»-Gefahr geschützt.