Schadprogramme

Sicherheitslücke Stagefright

Ein Artikel von , veröffentlicht am 04.09.2015

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni 2015 bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Aktualisiert am 22.10.2015

Darum geht es

Stagefright ist der Name des Systems, das bei Android die Medienverarbeitung regelt, zum Beispiel den Umgang mit MMS. Durch Fehler in der Programmierung dieses Systems ist es möglich, Kontrolle über ein Gerät zu erlangen. Das konnten Sicherheitsforscher zeigen. Dafür genügt es theoretisch, eine entsprechend präparierte MMS zu schicken. Der Nutzer muss diese MMS nicht einmal öffnen. Auch über präparierte Videos, MP3-Dateien (Audio) oder Webseiten könnten die Sicherheitslücken ausgenutzt werden. Es genügt, wenn eine App diese Dateien in der Vorschau anzeigt, sie müssen nicht geöffnet werden.

Wann, wo, wer

Das Problem wurden Ende Juli 2015 von Mitarbeitern des Softwarherstellers Zimperium bekannt gemacht. Betroffen sind fast alle Geräte mit den Android-Versionen 2.2 bis 5.1.

Am 1. Oktober gab Zimperium zwei weitere Sicherheitslücken bekannt, die unter dem Begriff "Stagefright 2.0" zusammengefasst werden.  Betroffen sind alle Android-Versionen. Durch diese Lücke können Android-Geräte mit präparierten MP3- (Audio) oder MP4 (Video) - Dateien infiziert werden.

Bis jetzt ist noch kein Fall bekannt, in dem die Lücken "in freier Wildbahn" ausgenutzt wurden. Allerdings hat Zimperium  eine Software veröffentlicht, mit der ein tatsächlicher Angriff über die erste Stagefright-Sicherheitslücke durchgeführt werden kann. So eine Software nennt man "Exploit Kit". Sie dient nur zu Demonstrationszwecken und richtet keinen Schaden an. Ein Sprecher von Google stellte aber klar, dass der Angriff durch einen Sicherheitsmechanismus namens "ASLR" (Adress Space Layout Randomization) stark erschwert werde. Ab Android 4.0 ist ASLR bei Android-Smartphones und Tablets Standard.

Das können Sie tun

Seit 5. Oktober 2015 stehen für alle genannten Probleme Sicherheitsupdates vom Android Open Source Project (AOSP) zur Verfügung. Das AOSP stellt die Ur-Version von Android her, aus der sich alle anderen Varianten der verschiedenen Hersteller ableiten. Für Nexus-Geräte (Nexus 4 und höher) wurden angepasste Updates bereits verteilt.

Gerätehersteller wie Samsung, Sony oder HTC sowie Mobilfunkanbieter wie T-Mobile oder Vodafone müssen diese Systemupdates noch in ihre jeweiligen Android-Varianten einbauen und an die Nutzer verteilen. Die meisten großen Hersteller sind inzwischen dabei, die Updates zu verteilen, darunter Samsung, Sony, HTC, LG, Motorola. Allerdings werden nicht alle Modelle der jeweiligen Hersteller ein Update bekommen. Ob Ihr Gerät dabei ist, erfahren Sie bei Ihrem Hersteller.

Mitarbeiter von Zimperium empfehlen, solange Sie kein Sicherheitsupdate erhalten haben, den automatischen Download von MMS (Multimedia – Kurznachrichten) sowohl beim Dienst „Google Hangout“ als auch beim Dienst „Messages“ zu deaktivieren. Zudem sollte der Internetbrowser auf aktuellem Stand sein, und alle anderen Apps, die Videodateien verarbeiten.

Sie sollten zudem keine Videos und Audios von unbekannten Seiten herunterladen, und sich möglichst nicht oder nur mit VPN in öffentlichen WLAN-Netzen bewegen. Denn die präparierten Dateien können in solchen WLAN-Netzen relativ leicht von einem Angreifer direkt auf ein Gerät geladen werden, ohne dass es der Nutzer merkt.

Zimperium hat überdies eine kostenlose App im Play-Store bereitgestellt, mit der Sie überprüfen können, ob Ihr Gerät von dem Problem betroffen ist. Aber Achtung: Auch Betrüger versuchen die Aufmerksamkeit durch Stagefright zu nutzen. In einer Mail, die angeblich von Google stammt, werden Nutzer dazu aufgefordert, ein angebliches Sicherheitsupdate zu installieren. Es handelt sich dabei um eine klassische phishing-Mail, das Sicherheitsupdate ist in Wirklichkeit ein Trojaner. Um legitime Sicherheits-Updates zu installieren, müssen Sie nicht die Installation aus unbekannten Quellen zulassen.

Wie Sie die automatische Verarbeitung von MMS deaktieren, zeigen wir in der Schritt-für-Schritt-Anleitung Automatische Downloads von MMS deaktivieren.

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Musik-Streaming: Musikhören mit eingebauter Überwachung

Musik-Streaming-Dienste wie Spotify haben die Musikkultur revolutioniert. Mobil können Nutzer jederzeit und an jedem Ort auf (fast) alle Musik der Welt zugreifen. Dabei bilden die Anbieter allerdings Nutzungsprofile – und auch die Künstler werden nicht immer angemessen an den Erlösen beteiligt.

Mehr
Ratgeber 

DSGVO: Datenschutz in Europa verständlich erklärt

Seit 2016 gelten in Europa einheitliche Regeln für den Datenschutz. Sie sind in der Datenschutz-Grundverordnung (DSGVO) festgeschrieben. Wir haben die wichtigsten Punkte aus diesem Gesetzeswerk zusammengestellt und erklären, was das alles mit Ihrem Handy zu tun hat.

Mehr
Ratgeber 

Beliebige Apps über Tor nutzen – so geht’s (Android)

Über das Tor-Netzwerk können Sie weitgehend anonym surfen und in unsicheren WLANs Ihren Datenverkehr schützen. Man kann aber auch jede beliebige App über Tor leiten. Wir erklären Schritt für Schritt, wie das geht - und wo die Grenzen dieses Tricks liegen.

Mehr
Schwerpunkt 

Alles rund um Ortung und Standort

Woher weiß ein Handy, wo es ist? Wie kann ich mein Gerät orten, wenn ich es verloren habe? Wie schütze ich mich vor der Standortverfolgung im Internet? Auf dieser Seite finden Sie unsere wichtigsten Beiträge zum Thema Standort.

Mehr