Schadprogramme

Sicherheitslücke Stagefright

Ein Artikel von , veröffentlicht am 04.09.2015

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni 2015 bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Aktualisiert am 22.10.2015

Darum geht es

Stagefright ist der Name des Systems, das bei Android die Medienverarbeitung regelt, zum Beispiel den Umgang mit MMS. Durch Fehler in der Programmierung dieses Systems ist es möglich, Kontrolle über ein Gerät zu erlangen. Das konnten Sicherheitsforscher zeigen. Dafür genügt es theoretisch, eine entsprechend präparierte MMS zu schicken. Der Nutzer muss diese MMS nicht einmal öffnen. Auch über präparierte Videos, MP3-Dateien (Audio) oder Webseiten könnten die Sicherheitslücken ausgenutzt werden. Es genügt, wenn eine App diese Dateien in der Vorschau anzeigt, sie müssen nicht geöffnet werden.

Wann, wo, wer

Das Problem wurden Ende Juli 2015 von Mitarbeitern des Softwarherstellers Zimperium bekannt gemacht. Betroffen sind fast alle Geräte mit den Android-Versionen 2.2 bis 5.1.

Am 1. Oktober gab Zimperium zwei weitere Sicherheitslücken bekannt, die unter dem Begriff "Stagefright 2.0" zusammengefasst werden.  Betroffen sind alle Android-Versionen. Durch diese Lücke können Android-Geräte mit präparierten MP3- (Audio) oder MP4 (Video) - Dateien infiziert werden.

Bis jetzt ist noch kein Fall bekannt, in dem die Lücken "in freier Wildbahn" ausgenutzt wurden. Allerdings hat Zimperium  eine Software veröffentlicht, mit der ein tatsächlicher Angriff über die erste Stagefright-Sicherheitslücke durchgeführt werden kann. So eine Software nennt man "Exploit Kit". Sie dient nur zu Demonstrationszwecken und richtet keinen Schaden an. Ein Sprecher von Google stellte aber klar, dass der Angriff durch einen Sicherheitsmechanismus namens "ASLR" (Adress Space Layout Randomization) stark erschwert werde. Ab Android 4.0 ist ASLR bei Android-Smartphones und Tablets Standard.

Das können Sie tun

Seit 5. Oktober 2015 stehen für alle genannten Probleme Sicherheitsupdates vom Android Open Source Project (AOSP) zur Verfügung. Das AOSP stellt die Ur-Version von Android her, aus der sich alle anderen Varianten der verschiedenen Hersteller ableiten. Für Nexus-Geräte (Nexus 4 und höher) wurden angepasste Updates bereits verteilt.

Gerätehersteller wie Samsung, Sony oder HTC sowie Mobilfunkanbieter wie T-Mobile oder Vodafone müssen diese Systemupdates noch in ihre jeweiligen Android-Varianten einbauen und an die Nutzer verteilen. Die meisten großen Hersteller sind inzwischen dabei, die Updates zu verteilen, darunter Samsung, Sony, HTC, LG, Motorola. Allerdings werden nicht alle Modelle der jeweiligen Hersteller ein Update bekommen. Ob Ihr Gerät dabei ist, erfahren Sie bei Ihrem Hersteller.

Mitarbeiter von Zimperium empfehlen, solange Sie kein Sicherheitsupdate erhalten haben, den automatischen Download von MMS (Multimedia – Kurznachrichten) sowohl beim Dienst „Google Hangout“ als auch beim Dienst „Messages“ zu deaktivieren. Zudem sollte der Internetbrowser auf aktuellem Stand sein, und alle anderen Apps, die Videodateien verarbeiten.

Sie sollten zudem keine Videos und Audios von unbekannten Seiten herunterladen, und sich möglichst nicht oder nur mit VPN in öffentlichen WLAN-Netzen bewegen. Denn die präparierten Dateien können in solchen WLAN-Netzen relativ leicht von einem Angreifer direkt auf ein Gerät geladen werden, ohne dass es der Nutzer merkt.

Zimperium hat überdies eine kostenlose App im Play-Store bereitgestellt, mit der Sie überprüfen können, ob Ihr Gerät von dem Problem betroffen ist. Aber Achtung: Auch Betrüger versuchen die Aufmerksamkeit durch Stagefright zu nutzen. In einer Mail, die angeblich von Google stammt, werden Nutzer dazu aufgefordert, ein angebliches Sicherheitsupdate zu installieren. Es handelt sich dabei um eine klassische phishing-Mail, das Sicherheitsupdate ist in Wirklichkeit ein Trojaner. Um legitime Sicherheits-Updates zu installieren, müssen Sie nicht die Installation aus unbekannten Quellen zulassen.

Wie Sie die automatische Verarbeitung von MMS deaktieren, zeigen wir in der Schritt-für-Schritt-Anleitung Automatische Downloads von MMS deaktivieren.

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

So stellen Sie den Klopf-Button am iPhone ein

iOS 14 kommt mit einer neuen Spielerei: Auf der Rückseite des iPhones gibt es einen versteckten Klopf-Button, dessen Funktion Sie auswählen können. Beispielsweise lässt sich so schnell die Bildschirmsperre aktivieren.

Ansehen
Kostenfallen 

Abofalle? Drittanbieter-Sperre einrichten

Vor Abofallen schützt am besten eine Drittanbieter-Sperre. Für sie gibt es inzwischen viele komfortable Optionen, von denen nur wenige Kunden wissen. Welche das sind, wer sie anbietet und was man beachten muss, erklären wir in unserer Anleitung.

Mehr
YouTube-Video 

Apps gecheckt: Speed-Checker fürs WLAN

Langsames Internet? Apps zum Messen der WLAN-Geschwindigkeit helfen, dem Problem auf den Grund zu gehen. Wir haben die wichtigsten Speed-Checker geprüft, das Ergebnis: viel unnötige Datensammelei und zwei Apps, die erfreulich sauber sind.

Ansehen
Ratgeber 

Freie Betriebssysteme: Freiheit fürs Smartphone

Die beiden großen mobilen Betriebssysteme sind Android von Google und iOS von Apple. Daneben gibt es viele freie Projekte, die ohne ein großes Unternehmen im Rücken Software bereitstellen. Doch wie funktioniert das und was steht zur Auswahl? Unser Überblick.

Mehr