Stagefright: Android-Nutzer sollten MMS Auto-Fetching abschalten

Andre Borbe,
Stagefright (Bild: Zimperium)

Bei Videos aus unbekannten Quellen empfiehlt Lookout vorsichtig zu sein. Wie sich MMS Auto-Fetching auschalten lässt, erklärt der Sicherheitsanbieter in speziellen Anleitungen. Wahrscheinlich kann ein Angriff auch im Browser stattfinden.

Als Schutzmaßnahme vor der Android-Lücke Stagefright empfiehlt der Sicherheitsanbieter Lookout, MMS Auto-Fetching zu deaktivieren. Für diesen Zweck hat das Unternehmen Anleitungen für eine Anzahl von SMS/MMS-Programmen veröffentlicht, denn abhängig von der verwendeten Messaging-App wird die Funktion unterschiedlich abgeschaltet. Lookout-Kunden können sich auch direkt an den Support wenden.

Die Anleitungen umfassen Hilfen für die vier Programme Google Hangouts sowie “Messages”, “Messaging” und “Messenger” unterschiedlicher Android- und Geräteversionen. Wer eine andere App für SMS und MMS einsetzt, kann zu einer von diesen – etwa Hangouts – wechseln und dort die Einstellungen anpassen. Allgemein sollten Android-Nutzer vorsichtig sein, wenn sie Videos aus unbekannter Quelle erhalten. Lookout rät, zu warten, bis ihr Gerät einen Patch erhält – abhängig vom Anbieter und dem Alter des Modells kann dies auch nie der Fall sein.

Die zunächst von Zimperium gemeldete Sicherheitslücke betrifft Lookout zufolge Android 2.2 bis 5.1 und somit nahezu alle Android-Geräte, die aktuell im Umlauf sind. Ein Angriff sei offenbar nicht nur per MMS, sondern auch im Browser möglich.

Hier die neue Version von Android. Android 4.4 heißt KitKat und Spötter geben an, dass Google jetzt sogar Versionsnamen eines Betriebssystems monetarisiert. Quelle: GoogleDer Fehler betrifft die Mediaplayer-Engine von Android, diese trägt den Namen Stagefright. Angreifer können mit einer einfachen MMS, die ein manipuliertes Video enthält, beliebige Daten stehlen. Abhängig von der Messaging-App müssen Nutzer das Video nicht einmal aufrufen, weil etwa Hangouts Video-MMS standardmäßig bei Empfang dekodiert. Bereits im April informierten die Entdecker Google über die Sicherheitslücke. Die Forscher glauben, dass Stagefright bisher nicht ausgenutzt wird.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. “Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.”

Details zu der Lücke wird Zimperium auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de