Ganz neu ist die „Stagefright„-Sicherheitslücke bei Android-Smartphones und -tablets nicht mehr – die Deutsche Telekom hat ja seinerzeit mit einer einstweiligen Blockade der MMS-Zustellung reagiert, und Google als Android-Technologie-Führer und viele Hersteller haben Anfang August gelobt, so schnell wie möglich Updates zu liefern und die Lücke zu stopfen.
Es mag ja etwas grausam klingen, wenn alle Welt auf einem kleinen Stückchen Software herumtrampelt, das einstmals so überaus beliebt war, zumindest bei Werbetreibenden 🙂 – weil damit erst so richtig Leben in unser Web hineinkam. Herrlich zuckende und pulsierende Banner, Laufschriften und Promo-Filmchen. Und bei Leuten mit speziellen Interessen; bei gewöhnlichen Cyberkriminellen oder staatlichen Hackern, da war diese Software auch sehr beliebt, weil sie dauernd wieder ein neues Hintertürchen in die Rechner von Usern sämtlicher Betriebssysteme eröffnete. Das wiederum minderte die Beliebtheit der Software bei den Leuten ohne diese speziellen Interessen.
Wenn erst sich bei der breiten Masse der jetzigen Android-User der Eindruck verfestigt „das Betriebssystem ist hoffnungslos unsicher“, dann dürfte das zu gewissen – für die Hersteller sehr unliebsamen – grundsätzlichen Überlegungen beim nächsten Smartphone- oder Tablet-Neukauf führen.
Morgen wird der Entdecker der Stagefright-Sicherheitslücke, Joshua Drake, auf der BlackHat-Konferenz weitere Einzelheiten bekannt geben – den angekündigten Exploit hält er auf Bitten der Android-Gerätehersteller noch bis zur DevCon am 24.8. zurück. Das ist allerdings wahrscheinlich schon vergebliche Liebesmühe – es dürftennämlich mittlerweile Exploits kursieren. Auch wenn natürlich nicht sofort alle Android-Smartphones angegriffen werden: Das Risiko, dass das eigene angegriffen werden kann, ist nicht akzeptabel – nicht nur für Prominente, Politiker und Wirtschaftsbosse.
Vielleicht interessiert sich ja ein Ex-Lover dafür, was jetzt gerade so von Ihrer Smartphone-Kamera aufgezeichnet oder vom Mikrofon aufgenommen wird. Oder ein Kollege aus der Firma. Oder irgendein blödsinniger Troll aus einem Online-Forum.
Wer momentan mit einem Android-Gerät herumläuft, das noch kein Update erhalten hat (und das werden bis auf Nexus-Geräte praktisch alle sein – und zwar noch wochen- oder monatelang…), muss sofort den „automatischen MMS-Empfang“ und Hangouts deaktivieren. Oder besser noch die Übermittlung von seinem Mobilfunk-Provider deaktivieren lassen – falls möglich.
Weil es für ältere Geräte auch überhaupt kein Update geben wird, ist hier die einzige Alternative zum Wegschmeißen die Installation einer alternativen Android-Distribution; z.B. CyanogenMod.
Mehr zu dem Thema (und auch zu der Frage, ob das Nachbessern einer so gravierenden Sicherheitslücke nicht unter die Gewährleistungspflicht der Geräte-Verkäufer bzw. Hersteller fällt…) am Samstag um 16.30 Uhr in C&K im DLF und am Sonntag im Computermagazin beim BR.
„Schmeiß dein Android-Handy in den Müll!“ titelt die britische Tech-Website „The Register“ – und das ist vielleicht etwas übertrieben, aber auch nur etwas.
P.S.: Wir wollen selbstverständlich keine Panik schüren: Mittlerweile hat „The Register“ die Schlagzeile nämlich leicht modifiziert: „Du hast ein Android-Smartphone? Zerschlag es mit dem Hammer – und zwar sofort!“ 🙂
Das Problem besteht offenbar darin, dass die Android-Softwarebibliothek „Stagefright“ von alleine damit beginnt, eine eingetroffene Video-Nachricht zu verarbeiten – um eine Vorschau zu erstellen. Dabei führt sie anscheinend auch etwaigen enthaltenen Schadcode aus.
Je nach Android-Version, Gerät und installierten Apps reichen die Konsequenzen von „übel“ bis „katastrophal“. Bei Altgeräten hat der Schadcode bzw. der Angreifer volle Kontrolle über die Kommunikation und die Daten, in jedem Fall aber bekommt die Malware Zugriff auf das Mikrofon, die Kamera und etwaige eingesteckte Speicherkarten.
Der Entdecker hat die Lücke vor geraumer Zeit an Google gemeldet, zusammen mit einem Patch-Vorschlag. Das Unternehmen hat das Problem bestätigt, auch das Android-Update ist fertig und kann verteilt werden. Aber nur die Besitzer von Nexus-Geräten erhalten den Bugfix direkt von Google – andere Hersteller brauchen traditionellerweise erheblich länger, ihre modifizierten Android-Versionen auf den neuesten Stand zu bringen. Und für Altgeräte gibt es gar keinen Support und keine Updates mehr. Im Klartext – die Stagefright-Lücke bleibt hier auf, die Geräte sind potentiell mobile Abhörwanzen für jeden interessierten Hacker.
Einzige Abhilfe: Eine alternative Android-Version installieren; das ist allerdings nichts für einen Normalverbraucher. Oder beim Mobilfunkbetreiber den MMS-Versand blockieren lassen – wenn der diese Wahlmöglichkeit zulässt, ohne dabei gleichzeitig den kompletten Internetzugang abzuklemmen.
Mittlerweile mehren sich aber in den Foren die Stimmen, die die Provider in der Mitverantwortung sehen. Denn der Schadcode kommt über die Mobilfunknetze an die Mobilfunknutzer, die ihre Geräte teilweise von ihrem Provider gekauft haben.
Obwohl Entdecker Joshua Drake die Einzelheiten erst nächste Woche auf der BlackHat-Konferenz offenlegt – die Angriffe, die Exploits drohen ab sofort. Die alternative Android-Distribution CyanogenMod hat das Problem nämlich bereits „gefixt“ – aus dem vorher-nachher-Vergleich können Fachleute nun die Details der Sicherheitslücke herauslesen.
Wenn nicht alles täuscht, ist StageFright tatsächlich eine Bedrohung von außergewöhnlicher Dimension. Mit keiner anderen Sicherheitslücke ist es so einfach und unaufwendig, zufällige oder eben auch ganz gezielt ausgesuchte „Opfer“ anzugreifen. Die Handy-Nummern stehen auf jeder Website; mal eben eine verseuchte MMS schicken – und im Zweifelsfall: Bingo. 🙁
Besonders großes Mitgefühl kann das italienische „Hacking Team“; die IT-„Sicherheitsfirma“ im Auftrag staatlicher Überwacher und Schnüffler nicht erwarten – zu groß ist die Schadenfreude angesichts der Top-Passwörter der Top-IT-Spezialisten, zu heftig die Kritik angesichts der offenkundlichen Zusammenarbeit mit diktatorischen Regimen. Der Hacking Team-Chef postuliert „wir sind die Guten“ – trotzdem kostet die Verwendung der Software gerade den Chef des zypriotischen Geheimdienstes den Job. Das Hacking Team will und wird wohl weitermachen – angeblich haben die Hacker-Hacker die wesentlichen Teile der Schnüffelsoftware auf den Firmenservern „übersehen“…
Wer nie auf komische Mailanhänge klickt, immer aktuelle Antivirensoftware benutzt und – am allerwichtigsten – immer ein tagesaktuelles Datenbackup an einem sicheren Ort hat, der braucht sich nicht zu fürchten vor Krypto-Trojanern. Alle anderen stehen im traurigen Falle des Falles vor einer schweren Entscheidung – den eigenen Daten sofort und endgültig lebewohl sagen, oder Lösegeld zahlen und hoffen?
Jetzt gibt es eine Erpressungssoftware mit „Kunden-Hotline“, berichtet die BBC – und der/die mitfühlende Gauner(in) im Netz lässt sogar mit sich handeln, wenn sein Opfer glaubhaft beteuert, knapp bei Kasse zu sein.
Noch menschenfreundlicher ist hingegen der/die Programmierer des Kryptotrojaners „Locker“ – am Dienstag schaltete er/sie reumütig die Daten der Opfer wieder frei – per Netz-Fernsteuerung. War alles nur ein Versehen, oder so.
Dass es die IT des Weißen Hauses böse erwischt hat, wissen wir schon seit über einer Woche. Jetzt bringt die New York Times weitere Details, auf was denn die Hacker – vermutlich von Russland aus operierend – so alles zugreifen konnten. Auf Barack Obamas Emails nämlich zum Beispiel; zwar nicht auf die als geheim klassifizierten, aber auf die alltägliche Kommunikation mit den Mitarbeitern. Das kann peinlich sein, sicherheitsrelevant ist es allemal.
Während der Vorfall also wieder einmal nachdrücklich zeigt, wie wissbegierig und einfallsreich Schnüffler aus aller Welt sind, reist Obamas neuer Cyber-Sicherheitsbeauftragter Ashton B. Carter ins Silicon Valley, um die dortigen Tech-Firmen davon zu überzeugen, doch bitte eine Hinter- Vorder- oder Seitentür in ihren Verschlüsselungs-Produkten offenzulassen. Für die Good Guys, die eigenen Dienste und Behörden – versteht sich.
Bei den IT-Security-Experten auf der RSA-Konferenz letzte Woche stieß das Ansinnen jedenfalls auf harsche Ablehnung – jeder absichtlich eingebaute Sondereingang in eine Kryptografielösung schafft Fehlerquellen, untergräbt das Vertrauen in das Produkt und kann letztlich auch von den „falschen“ Leuten ausgenutzt werden.
Es gibt spätestens seit 9/11 kaum noch einen Bereich, in dem man sich Humor, Ironie oder Sarkasmus besser ganz vehement verkneift, als beim Fliegen. Insofern kam denn auch der scherzhaft gemeinte Tweet des IT-Sicherheitsexperten Chris Roberts gar nicht gut an, den er letzten Mittwoch in einer United-Airlines-Maschine losgeschickt hatte:
„Sitze hier gerade in einer Boing 737/800, habe Netzzugang über eine IFE-ICE-SATCOM-Box. Soll ich mal mit den Warnsystem-Anzeigen herumspielen? „Sauerstoffmasken aufsetzen“ irgendjemand?“
Wobei man ja eigentlich sicher sei, so der Sprecher der Fluglinie, dass die eigenen Bordsysteme vor Angriffen mit den von Roberts beschriebenen Methoden sicher seien… 🙂
Chris Roberts ist jetzt mit einer anderen Airline nach Kalifornien gekommen, möglicherweise wird er dort weitere konkrete Hinweise auf mögliche Hacking-Angriffe auf Flugzeug-Bordsysteme geben. Dass es notwendig ist, die bestehenden Sicherheitskonzepte noch einmal kritisch unter die Lupe zu nehmen, hat letzte Woche auch die US-Luftfahrtbehörde nach einem Rüffel der Behördenaufsicht GAO zugegeben.