2102566

Sicherheit

Stagefright - fiese Android-Lücke betrifft 95% aller Geräte

28.07.2015 | 10:30 Uhr |

Sie müssen die MMS noch nicht einmal öffnen, und trotzdem ist Ihr Smartphone infiziert. Diese fiese Lücke macht es möglich.

Es gibt es eine massive Android-Sicherheitslücke, von der wohl 95% aller Smartphones und Tablets mit Android betroffen sein sollen. Dies berichtet Business Insider. Die Lücke wurde von den Sicherheitsforschern von Zimperium zLabs in der Android-Komponente "Stagefright" - "Lampenfieber" - entdeckt. Sie klafft in einer Media-Bibliothek, die von Android verwendet wird, um verbreitete Formate wie etwa PDF-Dateien anzuzeigen. Wie der Vize-Chef von zLabs erläutert, ermögliche schlampig geschriebener Code, dass Angreifer ihren schadhaften Code direkt an Android-Smartphones schicken können. Sie müssen nur die Telefonnummer des Geräts wissen, das sei alles. Besonders fies: Das Opfer kriegt nichts davon mit. Es gibt nicht einen Dialog oder auch nur eine Nachfrage, die der Nutzer bestätigen müsste.

So funktioniert die Android-Lücke in Stagefright

Stagefright betrifft alle Geräte ab Android 2.2 - also laut zLabs über 950 Millionen Stück und damit die allermeisten Androiden auf dem Markt. Die Angreifer brauchen nur eine MMS mit einer bestimmten Datei an das Android-Handy zu schicken. Außer der Handy-Nummer müssen sie nichts weiter über das Opfer wissen. Aber auch per Google Hangouts soll der Angriff gelingen. Tablet-Nutzer ohne Telefon-Funktion wären damit also auch nicht auf der sicheren Seite. Was die Lücke besonders schlimm macht: Es bedarf keiner dummen oder unbedachten Aktion des Opfers wie es bei Phishing-Mails der Fall ist. Das Opfer muss weder einen Anhang öffnen, noch eine Datei aus dem Netz laden. Abhängig von der App, mit der Sie verseuchte Nachricht öffnen würden, muss nicht einmal die Nachricht selbst geöffnet werden. Theoretisch kann der Angriff also passieren, während der Handy-Besitzer schläft.

Sobald die Attacke ausgeführt ist, hat der Angreifer Zugriff auf viele der Smartphone-Funktionen - etwa die Kamera und das Mikrofon. Das ermöglicht dem Hacker das heimliche Ausspionieren seines Opfers. Theoretisch könne der Angreifer sich sogar in der Folge Zugriff auf alle Daten auf dem Gerät verschaffen.

zLabs hat Google bereits benachrichtigt und sogar schon Patches nach Mountain View geschickt. Ferner hat man nicht alle Informationen öffentlich gemacht, die Hacker benötigen würden, um Stagefright auszunutzen. Denn bislang - soweit der leicht beruhigende Teil dieser beunruhigenden Nachricht - habe man noch kein Anzeichen gefunden, dass die Lücke bereits ausgenutzt werde.

Video: Die unglaublichsten Sicherheitslücken im Internet

Diese Android-Hersteller patchen bereits gegen die Lücke

Wie bei Forbes nachzulesen ist, hat Google sich bereits per Mail bei zLabs bedankt und versichert, dass die Patches von den Smartphone-Herstellern in den nächsten Wochen und Monaten installiert werden würden. Das ist eine lange Zeit. Das Nexus 6 mit der aktuellsten Firmware soll gegen einige der Stagefright-Angriffs-Szenarien bereits gewappnet sein, sagt zLabs. Aber nicht gegen alle. Nur der Hersteller des Blackphones soll bereits Patches zur Verfügung gestellt haben. Ebenfalls lobende Worte findet zLabs für Mozilla, das nach der Entdeckung schon einen Patch bereitgestellt hat. Die Android-Alternative Cyanogen hat ebenfalls bereits einen Patch veröffentlicht. Laut Forbes soll es für Nexus-Geräte aber erst nächste Woche einen Patch geben. HTC habe schon bestätigt, dass man Infos und Dateien von Google erhalten habe und diese bereits schrittweise zur Verfügung stelle.

Das können Sie gegen die Stagefright-Lücke tun

Installieren Sie rasch gegebenenfalls zur Verfügung stehende Updates. Wenn nicht klar ist, ob Ihr Android-Smartphone bereits ein Update gegen Stagefright bekommen hat, oder nicht - wenden Sie sich an den Support Ihres Herstellers beziehungsweise Mobilfunkanbieters. Wenn Sie auf Nummer Sicher gehen wollen: Schalten Sie das Gerät ab, wenn Sie vertrauliche/intime Gespräche führen. Oder legen Sie es außer Hör- und Sichtreichweite. Eine weitere Option: Installieren Sie die Cyanogen-Mod mit dem neuesten Patch. Bedenken Sie aber: Damit verlieren Sie die Garantie und gehen ein (geringes) Risiko ein. Gehen Sie außerdem immer und überall sparsam mit Ihren Daten um - veröffentlichen Sie nicht einfach Ihre Handy-Nummer oder andere Kontaktdaten im Internet. Haben Sie das bereits getan, bewahrt Sie das Löschen der Infos vielleicht vor einem Angriff.

So machen Sie Ihr Android-Gerät sicherer

0 Kommentare zu diesem Artikel
2102566