Android-Sicherheitslücken sind nach wie vor ein brisantes Thema, auch wenn sich seit den dramatischen Stagefright-Attacken von 2015 einiges getan hat. Damals erschütterte die Entdeckung einer der gefährlichsten Android-Schwachstellen überhaupt die Tech-Welt – und die Lehren daraus prägen die mobile Sicherheit bis heute.
Stagefright war keine einzelne Lücke, sondern eine ganze Familie von Sicherheitsproblemen im Multimedia-Framework von Android. Fast eine Milliarde Geräte mit Android 2.2 oder neuer waren betroffen. Das Perfide: Angreifer konnten Handys kompromittieren, ohne dass Nutzer auch nur eine einzige verdächtige Nachricht öffnen mussten.
Der Angriffsvektor war tückisch einfach. Cyberkriminelle versendeten präparierte Multimedia-Nachrichten (MMS) an ihre Opfer. Sobald die Nachricht auf dem Gerät ankam, wurde sie automatisch im Hintergrund verarbeitet – und dabei der Schadcode ausgeführt. Bei Apps wie Google Hangouts reichte es sogar, wenn die Anwendung installiert war. Sie musste nicht einmal geöffnet werden.
Google reagierte damals schnell mit Patches, doch das grundlegende Problem blieb bestehen: Die Fragmentierung des Android-Ökosystems. Während Google Updates bereitstellte, mussten Hersteller wie Samsung, LG oder HTC diese erst für ihre Geräte anpassen. Viele Nutzer warteten monatelang auf Sicherheitsupdates – wenn sie überhaupt welche bekamen.
Was hat sich seit Stagefright geändert?
Die Stagefright-Krise war ein Weckruf für die gesamte Android-Community. Google führte daraufhin mehrere wichtige Sicherheitsverbesserungen ein, die bis heute wirken:
Monatliche Sicherheitspatches: Seit 2015 veröffentlicht Google jeden Monat Sicherheitsupdates. Die meisten großen Hersteller haben sich diesem Rhythmus angeschlossen.
Project Treble: Ab Android 8.0 trennte Google die Hardware-Abstraktionsschicht vom Android-Framework. Das ermöglicht schnellere Updates, da Hersteller nicht mehr den gesamten Code neu kompilieren müssen.
Sandboxing: Android isoliert Apps und Systemkomponenten heute viel strenger voneinander. Selbst wenn eine Komponente kompromittiert wird, haben Angreifer deutlich weniger Möglichkeiten.
Google Play Protect: Der integrierte Malware-Scanner überprüft Apps kontinuierlich auf verdächtige Aktivitäten.
Moderne Schutzmaßnahmen gegen MMS-Attacken
Trotz aller Verbesserungen solltet ihr euer Android-Gerät aktiv schützen. Hier die wichtigsten Maßnahmen:
Updates installieren: Prüft regelmäßig unter „Einstellungen > System > Systemupdate“ nach verfügbaren Patches. Aktiviert wenn möglich automatische Updates.
MMS-Autodownload deaktivieren: In den meisten Messenger-Apps könnt ihr den automatischen Download von Multimedia-Inhalten abschalten. Bei Google Messages findet ihr die Option unter „Einstellungen > Erweitert > Automatisch herunterladen“.
Alternative Messenger nutzen: Apps wie Signal, Telegram oder WhatsApp sind oft sicherer als Standard-SMS-Apps, da sie Ende-zu-Ende-Verschlüsselung verwenden und eigene Sicherheitsmechanismen implementieren.
Unbekannte Quellen meiden: Installiert Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store. Aktiviert niemals „Installation aus unbekannten Quellen“ ohne triftigen Grund.
Berechtigungen überprüfen: Kontrolliert regelmäßig, welche Apps auf SMS, Kamera, Mikrofon oder andere sensible Funktionen zugreifen dürfen.
Aktuelle Bedrohungen im Blick behalten
Während klassische MMS-Attacken seltener geworden sind, haben sich die Angriffsvektoren verlagert. Heute stehen eher Phishing-Attacken über WhatsApp, gefälschte Banking-Apps oder Spyware im Fokus von Cyberkriminellen.
Besonders kritisch sind sogenannte Zero-Day-Exploits, die noch unbekannte Sicherheitslücken ausnutzen. Staatliche Akteure und professionelle Hacker-Gruppen setzen solche Tools ein, um gezielt hochwertige Ziele anzugreifen.
Fazit: Wachsamkeit zahlt sich aus
Stagefright war ein Meilenstein in der Android-Sicherheit – nicht wegen der Bedrohung selbst, sondern wegen der Reformen, die daraus entstanden. Heutige Android-Geräte sind deutlich sicherer als ihre Vorgänger von 2015.
Trotzdem gilt: Sicherheit ist kein Zustand, sondern ein Prozess. Haltet eure Geräte aktuell, seid vorsichtig bei verdächtigen Nachrichten und nutzt die verfügbaren Schutzfunktionen. Die Lehren aus Stagefright sind auch heute noch aktuell – auch wenn die Bedrohungslandschaft sich gewandelt hat.
Zuletzt aktualisiert am 13.04.2026
