"Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonderen präparierten Multimedia-Nachricht verschicken", schrieben die Sicherheitsforscher um Drake auf dem Blog ihrer Firma Zimperium. Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind, erklärte Joshua Drake.

Google erklärte, die Sicherheitslücke sei "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden. "Nach unserem derzeitigen Wissensstand ist niemand davon betroffen." Das steht im krassen Widerspruch zu Aussagen von Drake, der schätzt, dass Hunderte Millionen Geräte über die Lücke angreifbar sind. Ein zentrales Update, das sie schützen würde, gibt es für die Millionen Handy- und Tablet-Besitzer nicht. Google schickte zwar ein Sicherheits-Update an die Hersteller von Android-Geräten. Doch die Handybauer entscheiden selbst, wie sie Updates an ihre Kunden weitergeben. Einzig bei den Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche gestopft werden. Der Hersteller HTC sagte, die Lücke solle in den künftig verkauften Geräten geschlossen werden.

Das BSI empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Geht das nicht, sollten Kunden sich an die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zu erfragen".