2103240

Schutz vor Stagefright-Exploits für Android

30.07.2015 | 12:50 Uhr |

Kritische Sicherheitslücken in der Multimedia-Komponente Stagefright betreffen fast alle Android-Geräte. Hier erfahren Sie, was Sie zu Ihrem Schutz tun können.

In dieser Woche sind sieben kritische Sicherheitslücken in Googles Mobilbetriebssystem Android bekannt geworden. Sie betreffen alle Android-Versionen von 2.2 („Froyo”) bis 5.1.1 („Lollipop”), also bis zu 95 Prozent aller noch genutzten Geräte. Joshua Drake, Vizepräsident bei Zimperium zLabs, hatte die Schwachstellen entdeckt und im April an Google gemeldet. Drake will weitere Details auf der Sicherheitskonferenz BlackHat USA präsentieren, die am 1. August in Las Vegas beginnt.

Die Lücken stecken in der Android-Komponente Stagefright , die für den Umgang mit Multimedia-Inhalten zuständig ist. Exploit-Code kann über beliebige Multimedia-Inhalte an den Start gebracht werden. So etwa in präparierten Videodateien, die in Web-Seiten, PDF-Dokumenten oder MMS (Multimedia-SMS) eingebettet sind. Es hängt von der Android-Version sowie von der Implementierung der Gerätehersteller ab, wie schwer oder leicht es für einen Angreifer ist einen erfolgreichen Angriff zu starten

Der Empfang einer MMS oder der Aufruf einer präparierten Web-Seite im Browser kann bereits genügen, um Code einzuschleusen. Auf manchen Geräten würde eingeschleuster Code mit Systemrechten laufen, auf anderen nur mit eingeschränkten Berechtigungen. Systemrechte könnte der Code dennoch erlangen, wenn der Angreifer weitere Exploits hinzufügt. Mozilla hat in Firefox 38 bereits einige der Schwachstellen beseitigt, die über den Browser ausnutzbar sind. Chrome ist offenbar weiterhin anfällig.

Den automatischen MMS-Download abschalten

Bei einem MMS-Angriff kann der Erfolg auch noch davon abhängen, welche App ankommende SMS und MMS verarbeitet. Bei neueren Android-Versionen ist „Hangouts” die Standard-App. Das Sicherheitsunternehmen Lookout empfiehlt eine App zu wählen, bei der der automatische MMS-Download abgeschaltet werden kann – so wie etwa bei Hangouts. In Hangouts können Sie den automatischen MMS-Download unter „Einstellungen, SMS” deaktivieren. Gibt es diese Option hier nicht, ist Hangouts nicht als App für den Empfang von Kurznachrichten eingestellt.

Die Standard-App für SMS ändern Sie in einem Standard-Android unter „ Einstellungen... Mehr, Standard-SMS-App” . Je nach Gerätehersteller kann diese Option auch an anderer Stelle zu finden sein. Oft gelangen Sie auch über die Einstellungen der aktuellen SMS-App an die richtige Stelle. Im Lookout-Blog finden Sie auch Anleitungen für die Apps „Messenger”, „Messaging” und „Messages”, die in älteren Android-Versionen für SMS zuständig sind.

Sicherheits-Updates?

Google hat die Sicherheitslücken im Android-Quelltext geschlossen, der den Geräteherstellern zur Verfügung steht. Nun ist es an Samsung, HTC, Sony und Co. Updates bereitzustellen. Google hat inzwischen bestätigt, dass seine Nexus-Geräte ab der kommenden Woche im Rahmen ohnehin geplanter Sicherheits-Updates einen Patch gegen die Stagefright-Lücken erhalten sollen.

HTC hat zumindest erklärt, dass alle noch laufenden Projekte den Stagefright-Patch enthalten. Das heißt wohl, dass HTC-Geräte, die noch System-Updates erhalten, den Patch mit dem nächsten Update bekommen. Das Open-Source-Projekt CyanogenMod, das Custom-ROMs für viele gängige Geräte bereit stellt, hat bereits aktualisierte Nightlies für CM12.0 und 12.1 veröffentlicht, CM11 soll in den nächsten Tagen folgen. Silent Circle hat schon Updates für sein Blackphone ausgeliefert.

Was tun bis zum Update?

Eine aktuelle Antivirus-App kann zwar den Exploit an sich nicht verhindern, aber im Anschluss heruntergeladene Malware abwehren. Web-Seiten sollten Sie vorzugsweise mit Firefox ansteuern. Wenn Sie zudem den automatischen MMS-Download abgeschaltet haben, können Sie relativ ruhig auf ein System-Update warten – sofern der Hersteller Ihres Smartphones oder Tablets noch Updates dafür liefert.

Bislang sind noch keine Angriffe bekannt geworden, die auf die Stagefright-Lücken zielen. Das kann sich allerdings bereits ab der nächsten Woche ändern, wenn auf der BlackHat und der daran anschließenden DefCon Details zu den Stagefright-Lücken sowie zu Exploit-Möglichkeiten öffentlich gemacht werden.

0 Kommentare zu diesem Artikel
2103240