Schadprogramme

Sicherheitslücke Stagefright

Ein Artikel von , veröffentlicht am 04.09.2015

Mit Stagefright sind einige gravierende Sicherheitslücken im Android-Betriebssystem gemeint, die Ende Juni 2015 bekannt wurden. Theoretisch sind durch diese Lücken verschiedene Angriffe möglich. Für neuere Geräte sind Sicherheitsupdates angekündigt.

Aktualisiert am 22.10.2015

Darum geht es

Stagefright ist der Name des Systems, das bei Android die Medienverarbeitung regelt, zum Beispiel den Umgang mit MMS. Durch Fehler in der Programmierung dieses Systems ist es möglich, Kontrolle über ein Gerät zu erlangen. Das konnten Sicherheitsforscher zeigen. Dafür genügt es theoretisch, eine entsprechend präparierte MMS zu schicken. Der Nutzer muss diese MMS nicht einmal öffnen. Auch über präparierte Videos, MP3-Dateien (Audio) oder Webseiten könnten die Sicherheitslücken ausgenutzt werden. Es genügt, wenn eine App diese Dateien in der Vorschau anzeigt, sie müssen nicht geöffnet werden.

Wann, wo, wer

Das Problem wurden Ende Juli 2015 von Mitarbeitern des Softwarherstellers Zimperium bekannt gemacht. Betroffen sind fast alle Geräte mit den Android-Versionen 2.2 bis 5.1.

Am 1. Oktober gab Zimperium zwei weitere Sicherheitslücken bekannt, die unter dem Begriff "Stagefright 2.0" zusammengefasst werden.  Betroffen sind alle Android-Versionen. Durch diese Lücke können Android-Geräte mit präparierten MP3- (Audio) oder MP4 (Video) - Dateien infiziert werden.

Bis jetzt ist noch kein Fall bekannt, in dem die Lücken "in freier Wildbahn" ausgenutzt wurden. Allerdings hat Zimperium  eine Software veröffentlicht, mit der ein tatsächlicher Angriff über die erste Stagefright-Sicherheitslücke durchgeführt werden kann. So eine Software nennt man "Exploit Kit". Sie dient nur zu Demonstrationszwecken und richtet keinen Schaden an. Ein Sprecher von Google stellte aber klar, dass der Angriff durch einen Sicherheitsmechanismus namens "ASLR" (Adress Space Layout Randomization) stark erschwert werde. Ab Android 4.0 ist ASLR bei Android-Smartphones und Tablets Standard.

Das können Sie tun

Seit 5. Oktober 2015 stehen für alle genannten Probleme Sicherheitsupdates vom Android Open Source Project (AOSP) zur Verfügung. Das AOSP stellt die Ur-Version von Android her, aus der sich alle anderen Varianten der verschiedenen Hersteller ableiten. Für Nexus-Geräte (Nexus 4 und höher) wurden angepasste Updates bereits verteilt.

Gerätehersteller wie Samsung, Sony oder HTC sowie Mobilfunkanbieter wie T-Mobile oder Vodafone müssen diese Systemupdates noch in ihre jeweiligen Android-Varianten einbauen und an die Nutzer verteilen. Die meisten großen Hersteller sind inzwischen dabei, die Updates zu verteilen, darunter Samsung, Sony, HTC, LG, Motorola. Allerdings werden nicht alle Modelle der jeweiligen Hersteller ein Update bekommen. Ob Ihr Gerät dabei ist, erfahren Sie bei Ihrem Hersteller.

Mitarbeiter von Zimperium empfehlen, solange Sie kein Sicherheitsupdate erhalten haben, den automatischen Download von MMS (Multimedia – Kurznachrichten) sowohl beim Dienst „Google Hangout“ als auch beim Dienst „Messages“ zu deaktivieren. Zudem sollte der Internetbrowser auf aktuellem Stand sein, und alle anderen Apps, die Videodateien verarbeiten.

Sie sollten zudem keine Videos und Audios von unbekannten Seiten herunterladen, und sich möglichst nicht oder nur mit VPN in öffentlichen WLAN-Netzen bewegen. Denn die präparierten Dateien können in solchen WLAN-Netzen relativ leicht von einem Angreifer direkt auf ein Gerät geladen werden, ohne dass es der Nutzer merkt.

Zimperium hat überdies eine kostenlose App im Play-Store bereitgestellt, mit der Sie überprüfen können, ob Ihr Gerät von dem Problem betroffen ist. Aber Achtung: Auch Betrüger versuchen die Aufmerksamkeit durch Stagefright zu nutzen. In einer Mail, die angeblich von Google stammt, werden Nutzer dazu aufgefordert, ein angebliches Sicherheitsupdate zu installieren. Es handelt sich dabei um eine klassische phishing-Mail, das Sicherheitsupdate ist in Wirklichkeit ein Trojaner. Um legitime Sicherheits-Updates zu installieren, müssen Sie nicht die Installation aus unbekannten Quellen zulassen.

Wie Sie die automatische Verarbeitung von MMS deaktieren, zeigen wir in der Schritt-für-Schritt-Anleitung Automatische Downloads von MMS deaktivieren.

 

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Diese WhatsApp-Alternativen empfehlen wir

Seit den Enthüllungen von Edward Snowden gibt es immer mehr Messenger-Apps, die verschlüsselte Kommunikation anbieten und dabei einfach und komfortabel sind. Wir haben die beliebtesten Apps getestet und erklären ihre Vor- und Nachteile. Mehr dazu hier: mobilsicher.de/ratgeber/whatsapp-alternativen

Ansehen
Backup 

Cloud-Dienst luckycloud kurz vorgestellt

Der Cloud-Speicher luckycloud betreibt eigene Server in Deutschland und bietet eine optionale Ende-zu-Ende-Verschlüsselung. Das Basispaket gibt's für einen Euro pro Monat.

Mehr
Kinder und Jugendliche 

Samsung Kids einrichten – so geht’s

Sie haben ein Samsung-Handy mit Android 9 oder höher und wollen es ab und an Ihrem Kind in die Hand geben? Mit der App „Samsung Kids“ können Sie das Gerät so sichern, dass dabei kein Unglück geschieht. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
Ratgeber 

Video-Chat mit GoToMeeting kurz vorgestellt

GoToMeeting ist ein kostenpflichtiger Dienst für abhörsicheren Videochat mit bis zu 150 Personen. Wie schneidet er im Vergleich zu ZOOM und Skype ab? Die Vor- und Nachteile im Überblick.

Mehr