Suche
Schütze sich, wer kann

Stagefright bei Android: Mehr als nur ein kleiner Bug

Kypriani Sinaris

©Shutterstock/Sam72

Wenn die Community schon seit Tagen über eine Sicherheitslücke spricht und es dazu auch schon einen eigenen Wikipedia-Eintrag gibt, dann muss es sich schon um etwas Größeres handeln: Die Sicherheitslücke „Stagefright“ soll mehr als 90% aller Android Smartphones gefährden. Gestern hat Samsung ein Android Security Update angekündigt und auch Besitzer eines Nexus-Smartphones sollen gestern Security-Updates erhalten haben.

Von der Sicherheitslücke, die nach dem betroffenen, gleichnamigen Multimedia-Framework für Android benannt ist, sind Android Smartphones mit den Versionen 2.2. bis 5.1. des OS betroffen. Und das sind Schätzung zufolge über 90% der Android-Geräte. Eine MMS mit integriertem Video oder die Manipulation einer Videodatei im MP4-Format reicht aus, um das gleichnamige Multimedia-Framework zum Absturz zu bringen. Sogar das Bundesamt für Sicherheit in der Informationstechnik warnt in einer „Alarmmeldung“ vor Stagefright.

“The worst Android vulnerabilities discovered to date”

Zimperium Mobile Security entdeckte die Sicherheitslücke und meldete diese an Google. Die Library Stagefright ist in nativem C++ Code implementiert, der öfter anfällig für Speicherkorruption sei als andere Sprachen. Über verschiedene Wege können Fremde sich demnach Zugriff auf Android Smartphones verschaffen, ohne jegliches Zutun der User.

Die Angreifer bräuchten lediglich die Telefonnummer ihrer Opfer. Mehr „Hilfestellung“ von Seiten der Opfer ist gar nicht nötig: Sie müssen weder ein PDF öffnen noch einen dubiosen Link anklicken. Über eine MMS, die sogar bevor ein Opfer sie zu Gesicht bekommt schon wieder gelöscht sein könnte, so Zimperium, könnte ein Angreifer sich Zugriff auf das Smartphone verschaffen. Neben den doch eher veralteten MMS ist auch die Übertragung über MP4-Dateien möglich. Wie ein YouTube-Video von Trend Micro demonstriert, kann auch über Twitter Zugang verschafft werden:

Entert der Trojaner erfolgreich das Smartphone, kann dieser dort in erheblichem Umfang Schaden anrichten. So schreibt Wish Wu, Mobile Threat Response Engineer bei Trend Micro, in einem Blogpost:

We have discovered a vulnerability in Android that can render a phone apparently dead – silent, unable to make calls, with a lifeless screen.

Zimperium bezeichnet Stagefright sogar als größeres Sicherheitsdrama als Heartbleed, welches seinerzeit für großes Aufsehen sorgte.

Schütze sich, wer kann

Ein erster Versuch, sich vor der Sicherheitslücke Stagefright zu schützen, indem man die MMS-Funktion deaktiviert, ist also eher naiv. Denn die genannte Gefahr durch MP4-Formate lauert eben auch auf Internetseiten. Trend Micro stellt eine Liste aller möglichen Angriffs-Szenarien zusammen, welche (zumindest aus aktueller Sicht) durch Stagefright in Frage kämen.

Die gravierende Lücke ruft natürlicherweise auch Hacker auf den Plan: Es sollen bereits Stagefright Exploits vorliegen. Und in Folge dessen gibt es auch schon Firmen, wie intevydis, die ein „Proof of Concept“ anbieten.

Was macht Google?

Wer den Schaden hat, braucht für den Spott nicht zu sorgen. Und so werden die Stimmen lauter, die das Verhalten von Google und deren Update-Politik kritisieren. So schreibt Bernd Rubel über Mobile Geeks „Es reicht!“. Google solle sich ernsthafte Gedanken über seine aktuelle Praxis bezüglich herstellerspezifischer Android-Anpassungen machen. Außerdem fordert er regelmäßigere Updates des OS, um solchen Lücken zeitnah entgegenzuwirken.

Google soll bereits seit April von der Sicherheitslücke wissen. Das Unternehmen habe passende Patches zur Verfügung gestellt, aber wegen der Abhängigkeit von Smartphone-Herstellern wie Samsung, HTC und Co. kommen entsprechende Updates nur langsam bei den Usern an.

Die Industrie bleibt natürlich nicht tatenlos: So soll die Installation von CyanogenMod in den Versionen 11 oder 12 aufgrund eines mitgelieferten Stagefright Patches vor Hackern schützen. Außerdem soll die Lücke bereits beim Firefox OS von Mozilla geschlossen sein und kürzlich wurden den Besitzern von Samsung- und Nexus-Geräten Security Updates versprochen. Und auch die Telekom reagierte und hat den automatischen Empfang von MMS-Nachrichten für ihre Kunden blockiert.

Aufmacherbild: Illustration depicting an illuminated neon sign with a stage fright von Shutterstock / Urheberrecht: Sam72

Verwandte Themen:

Geschrieben von
Kypriani Sinaris
Kypriani Sinaris
Kypriani Sinaris studierte Kognitive Linguistik an der Goethe Universität Frankfurt am Main. Seit 2015 ist sie Redakteurin bei JAXenter und dem Java Magazin.
Kommentare

Hinterlasse einen Kommentar

1 Kommentar auf "Stagefright bei Android: Mehr als nur ein kleiner Bug"

avatar
400
  Subscribe  
Benachrichtige mich zu:
trackback

[…] von Mediendateien wie MP3s oder MP4-Videodateien zu finden ist. Und das zu einem Zeitpunkt, zu dem Stagefright noch immer nicht auf allen Gerätengefixt […]