Schadprogramme

Sicherheitslücke Stagefright

Ein Artikel von , veröffentlicht am 04.09.2015

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni 2015 bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Aktualisiert am 22.10.2015

Darum geht es

Stagefright ist der Name des Systems, das bei Android die Medienverarbeitung regelt, zum Beispiel den Umgang mit MMS. Durch Fehler in der Programmierung dieses Systems ist es möglich, Kontrolle über ein Gerät zu erlangen. Das konnten Sicherheitsforscher zeigen. Dafür genügt es theoretisch, eine entsprechend präparierte MMS zu schicken. Der Nutzer muss diese MMS nicht einmal öffnen. Auch über präparierte Videos, MP3-Dateien (Audio) oder Webseiten könnten die Sicherheitslücken ausgenutzt werden. Es genügt, wenn eine App diese Dateien in der Vorschau anzeigt, sie müssen nicht geöffnet werden.

Wann, wo, wer

Das Problem wurden Ende Juli 2015 von Mitarbeitern des Softwarherstellers Zimperium bekannt gemacht. Betroffen sind fast alle Geräte mit den Android-Versionen 2.2 bis 5.1.

Am 1. Oktober gab Zimperium zwei weitere Sicherheitslücken bekannt, die unter dem Begriff "Stagefright 2.0" zusammengefasst werden.  Betroffen sind alle Android-Versionen. Durch diese Lücke können Android-Geräte mit präparierten MP3- (Audio) oder MP4 (Video) - Dateien infiziert werden.

Bis jetzt ist noch kein Fall bekannt, in dem die Lücken "in freier Wildbahn" ausgenutzt wurden. Allerdings hat Zimperium  eine Software veröffentlicht, mit der ein tatsächlicher Angriff über die erste Stagefright-Sicherheitslücke durchgeführt werden kann. So eine Software nennt man "Exploit Kit". Sie dient nur zu Demonstrationszwecken und richtet keinen Schaden an. Ein Sprecher von Google stellte aber klar, dass der Angriff durch einen Sicherheitsmechanismus namens "ASLR" (Adress Space Layout Randomization) stark erschwert werde. Ab Android 4.0 ist ASLR bei Android-Smartphones und Tablets Standard.

Das können Sie tun

Seit 5. Oktober 2015 stehen für alle genannten Probleme Sicherheitsupdates vom Android Open Source Project (AOSP) zur Verfügung. Das AOSP stellt die Ur-Version von Android her, aus der sich alle anderen Varianten der verschiedenen Hersteller ableiten. Für Nexus-Geräte (Nexus 4 und höher) wurden angepasste Updates bereits verteilt.

Gerätehersteller wie Samsung, Sony oder HTC sowie Mobilfunkanbieter wie T-Mobile oder Vodafone müssen diese Systemupdates noch in ihre jeweiligen Android-Varianten einbauen und an die Nutzer verteilen. Die meisten großen Hersteller sind inzwischen dabei, die Updates zu verteilen, darunter Samsung, Sony, HTC, LG, Motorola. Allerdings werden nicht alle Modelle der jeweiligen Hersteller ein Update bekommen. Ob Ihr Gerät dabei ist, erfahren Sie bei Ihrem Hersteller.

Mitarbeiter von Zimperium empfehlen, solange Sie kein Sicherheitsupdate erhalten haben, den automatischen Download von MMS (Multimedia – Kurznachrichten) sowohl beim Dienst „Google Hangout“ als auch beim Dienst „Messages“ zu deaktivieren. Zudem sollte der Internetbrowser auf aktuellem Stand sein, und alle anderen Apps, die Videodateien verarbeiten.

Sie sollten zudem keine Videos und Audios von unbekannten Seiten herunterladen, und sich möglichst nicht oder nur mit VPN in öffentlichen WLAN-Netzen bewegen. Denn die präparierten Dateien können in solchen WLAN-Netzen relativ leicht von einem Angreifer direkt auf ein Gerät geladen werden, ohne dass es der Nutzer merkt.

Zimperium hat überdies eine kostenlose App im Play-Store bereitgestellt, mit der Sie überprüfen können, ob Ihr Gerät von dem Problem betroffen ist. Aber Achtung: Auch Betrüger versuchen die Aufmerksamkeit durch Stagefright zu nutzen. In einer Mail, die angeblich von Google stammt, werden Nutzer dazu aufgefordert, ein angebliches Sicherheitsupdate zu installieren. Es handelt sich dabei um eine klassische phishing-Mail, das Sicherheitsupdate ist in Wirklichkeit ein Trojaner. Um legitime Sicherheits-Updates zu installieren, müssen Sie nicht die Installation aus unbekannten Quellen zulassen.

Wie Sie die automatische Verarbeitung von MMS deaktieren, zeigen wir in der Schritt-für-Schritt-Anleitung Automatische Downloads von MMS deaktivieren.

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Daten vom Mobilgerät löschen

Smartphones können jede Menge sensibler Daten speichern. Manchmal ist es wünschenswert, diese Daten wieder zu entfernen. Einfach Zurücksetzen oder Löschen reicht dafür nicht, denn dann können die Daten unter Umständen leicht wiederhergestellt werden.

Mehr
Messenger 

Messenger-App Threema kurz vorgestellt

Um den verschlüsselten Messenger Threema zu nutzen, muss man überhaupt keine persönlichen Daten angeben. Die App aus der Schweiz kostet einmalig vier Euro und ist für Android-Handys und iPhones zu haben.

Mehr
YouTube-Video 

Zur DSGVO: Jetzt personalisierte Werbung verbieten

Unser praktischer Tipp zur DSGVO (Datenschutz-Grundverordnung): Jetzt personalisierte App-Werbung verbieten - und am besten auch gleich die Werbe-ID zurücksetzen! Im Video zeigen wir, wie das geht.

Ansehen
Der Start mit iOS 

iCloud: Praktischer Speicher oder Datensauger?

Mit der iCloud will Apple die Smartphone-Nutzung bequemer und sicherer machen. Der Dienst erstellt Backups, bietet Speicherplatz und hält Daten auf verschiedenen Apple-Geräten synchron. Welche Daten in Ihrer iCloud landen und wie privat sie dort sind, fassen wir hier zusammen.

Mehr