„Schmeiß dein Android-Handy in den Müll!“ titelt die britische Tech-Website “The Register” – und das ist vielleicht etwas übertrieben, aber auch nur etwas.
P.S.: Wir wollen selbstverständlich keine Panik schüren: Mittlerweile hat “The Register” die Schlagzeile nämlich leicht modifiziert: “Du hast ein Android-Smartphone? Zerschlag es mit dem Hammer – und zwar sofort!” 🙂
Es sieht nämlich so aus, als habe der Sicherheitsforscher Joshua Drake einen wirklich sehr gravierenden Bug in einer Softwarekomponente von Android-Betriebssystemen gefunden. Er lässt sich dazu verwenden, Smartphones oder Tablets zu kapern – und zwar ohne jede Interaktion des Besitzers; allein durch eine MMS oder eine Hangouts-Message.
Das Problem besteht offenbar darin, dass die Android-Softwarebibliothek “Stagefright” von alleine damit beginnt, eine eingetroffene Video-Nachricht zu verarbeiten – um eine Vorschau zu erstellen. Dabei führt sie anscheinend auch etwaigen enthaltenen Schadcode aus.
Je nach Android-Version, Gerät und installierten Apps reichen die Konsequenzen von “übel” bis “katastrophal”. Bei Altgeräten hat der Schadcode bzw. der Angreifer volle Kontrolle über die Kommunikation und die Daten, in jedem Fall aber bekommt die Malware Zugriff auf das Mikrofon, die Kamera und etwaige eingesteckte Speicherkarten.
Der Entdecker hat die Lücke vor geraumer Zeit an Google gemeldet, zusammen mit einem Patch-Vorschlag. Das Unternehmen hat das Problem bestätigt, auch das Android-Update ist fertig und kann verteilt werden. Aber nur die Besitzer von Nexus-Geräten erhalten den Bugfix direkt von Google – andere Hersteller brauchen traditionellerweise erheblich länger, ihre modifizierten Android-Versionen auf den neuesten Stand zu bringen. Und für Altgeräte gibt es gar keinen Support und keine Updates mehr. Im Klartext – die Stagefright-Lücke bleibt hier auf, die Geräte sind potentiell mobile Abhörwanzen für jeden interessierten Hacker.
Einzige Abhilfe: Eine alternative Android-Version installieren; das ist allerdings nichts für einen Normalverbraucher. Oder beim Mobilfunkbetreiber den MMS-Versand blockieren lassen – wenn der diese Wahlmöglichkeit zulässt, ohne dabei gleichzeitig den kompletten Internetzugang abzuklemmen.
Mittlerweile mehren sich aber in den Foren die Stimmen, die die Provider in der Mitverantwortung sehen. Denn der Schadcode kommt über die Mobilfunknetze an die Mobilfunknutzer, die ihre Geräte teilweise von ihrem Provider gekauft haben.
Obwohl Entdecker Joshua Drake die Einzelheiten erst nächste Woche auf der BlackHat-Konferenz offenlegt – die Angriffe, die Exploits drohen ab sofort. Die alternative Android-Distribution CyanogenMod hat das Problem nämlich bereits “gefixt” – aus dem vorher-nachher-Vergleich können Fachleute nun die Details der Sicherheitslücke herauslesen.
Wenn nicht alles täuscht, ist StageFright tatsächlich eine Bedrohung von außergewöhnlicher Dimension. Mit keiner anderen Sicherheitslücke ist es so einfach und unaufwendig, zufällige oder eben auch ganz gezielt ausgesuchte “Opfer” anzugreifen. Die Handy-Nummern stehen auf jeder Website; mal eben eine verseuchte MMS schicken – und im Zweifelsfall: Bingo. 🙁
Liveblog | Mucke hören? Aber Fair!
DRadio Wissen – Schaum oder Haase vom 28.07.2015
DLF- Android-Sicherheitslücke StageFright
Deutschlandfunk – Forschung aktuell vom 28.07.2015