Ratgeber

Sicherheitslücke Stagefright

Platine

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Veröffentlicht am
Autor
Schlagworte
Angriff · Malware · Medienverarbeitung · MMS · Sicherheitslücke
Drucken

Aktualisiert am 22.10..2015

Darum geht es

Stagefright ist der Name des Systems, das bei Android die Medienverarbeitung regelt, zum Beispiel den Umgang mit MMS. Durch Fehler in der Programmierung dieses Systems ist es möglich, Kontrolle über ein Gerät zu erlangen. Das konnten Sicherheitsforscher zeigen. Dafür genügt es theoretisch, eine entsprechend präparierte MMS zu schicken. Der Nutzer muss diese MMS nicht einmal öffnen. Auch über präparierte Videos, MP3-Dateien (Audio) oder Webseiten könnten die Sicherheitslücken ausgenutzt werden. Es genügt, wenn eine App diese Dateien in der Vorschau anzeigt, sie müssen nicht geöffnet werden.

Wann, wo, wer

Das Problem wurden Ende Juli 2015 von Mitarbeitern des Softwarherstellers Zimperium bekannt gemacht. Betroffen sind fast alle Geräte mit den Android-Versionen 2.2 bis 5.1.

Am 1. Oktober gab Zimperium zwei weitere Sicherheitslücken bekannt, die unter dem Begriff „Stagefright 2.0“ zusammengefasst werden.  Betroffen sind alle Android-Versionen. Durch diese Lücke können Android-Geräte mit präparierten MP3- (Audio) oder MP4 (Video) – Dateien infiziert werden.

Bis jetzt ist noch kein Fall bekannt, in dem die Lücken „in freier Wildbahn“ ausgenutzt wurden. Allerdings hat Zimperium  eine Software veröffentlicht, mit der ein tatsächlicher Angriff über die erste Stagefright-Sicherheitslücke durchgeführt werden kann. So eine Software nennt man „Exploit Kit“. Sie dient nur zu Demonstrationszwecken und richtet keinen Schaden an. Ein Sprecher von Google stellte aber klar, dass der Angriff durch einen Sicherheitsmechanismus namens „ASLR“ (Adress Space Layout Randomization) stark erschwert werde. Ab Android 4.0 ist ASLR bei Android-Smartphones und Tablets Standard.

Das können Sie tun

Seit 5. Oktober 2015 stehen für alle genannten Probleme Sicherheitsupdates vom Android Open Source Project (AOSP) zur Verfügung. Das AOSP stellt die Ur-Version von Android her, aus der sich alle anderen Varianten der verschiedenen Hersteller ableiten. Für Nexus-Geräte (Nexus 4 und höher) wurden angepasste Updates bereits verteilt.

Gerätehersteller wie Samsung, Sony oder HTC sowie Mobilfunkanbieter wie T-Mobile oder Vodafone müssen diese Systemupdates noch in ihre jeweiligen Android-Varianten einbauen und an die Nutzer verteilen. Die meisten großen Hersteller sind inzwischen dabei, die Updates zu verteilen, darunter Samsung, Sony, HTC, LG, Motorola. Allerdings werden nicht alle Modelle der jeweiligen Hersteller ein Update bekommen. Ob Ihr Gerät dabei ist, erfahren Sie bei Ihrem Hersteller.

Mitarbeiter von Zimperium empfehlen, solange Sie kein Sicherheitsupdate erhalten haben, den automatischen Download von MMS (Multimedia – Kurznachrichten) sowohl beim Dienst „Google Hangout“ als auch beim Dienst „Messages“ zu deaktivieren. Zudem sollte der Internetbrowser auf aktuellem Stand sein, und alle anderen Apps, die Videodateien verarbeiten.

Sie sollten zudem keine Videos und Audios von unbekannten Seiten herunterladen, und sich möglichst nicht oder nur mit VPN in öffentlichen WLAN-Netzen bewegen. Denn die präparierten Dateien können in solchen WLAN-Netzen relativ leicht von einem Angreifer direkt auf ein Gerät geladen werden, ohne dass es der Nutzer merkt.

Zimperium hat überdies eine kostenlose App im Play-Store bereitgestellt, mit der Sie überprüfen können, ob Ihr Gerät von dem Problem betroffen ist. Aber Achtung: Auch Betrüger versuchen die Aufmerksamkeit durch Stagefright zu nutzen. In einer Mail, die angeblich von Google stammt, werden Nutzer dazu aufgefordert, ein angebliches Sicherheitsupdate zu installieren. Es handelt sich dabei um eine klassische phishing-Mail, das Sicherheitsupdate ist in Wirklichkeit ein Trojaner. Um legitime Sicherheits-Updates zu installieren, müssen Sie nicht die Installation aus unbekannten Quellen zulassen.

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!