Stagefright gefährdet 930 Millionen Android-Geräte

Die Sicherheitsfirma Zimperium berichtet von einer Schwachstelle in Android, die in Stagefright steckt – der Mediaplayer-Engine von Android. In Anlehnung an diese Komponente bezeichnen die Forscher auch die Lücke selbst als “Stagefright” (zu Deutsch: Bühnenangst). Angeblich lassen sich mit einer simplen MMS beliebige Daten stehlen, die auf dem Smartphone vorliegen. 95 Prozent aller Android-Geräte sollen betroffen sein.

Um die “Mutter aller Android-Lücken” zu nutzen, wie Zimperium formuliert, muss man ein Video per MMS an das Gerät senden. Vermutlich sind alle Android-Versionen ab 2.2 anfällig, nicht aber ältere. Je nach verwendeter Messaging-App muss der Nutzer die Nachricht aufrufen – aber nicht unbedingt das Video ansehen. Wer aber Google Hangouts als Messaging-App einsetzt, wird schon durch den Empfang selbst infiziert, berichtet Zimperium, da dieses Programm das Video gleich bei Erhalt dekodiere, um es fürs Abspielen vorzubereiten.

Die Lücke hatte Zimperium im April an Google gemeldet. Sie wurde jetzt via NPR und auch im Blog von Zimperium öffentlich gemacht. Die Forscher glauben, dass sie bisher nicht ausgenutzt wird. Google hat demnach einen von Zimperium angebotenen Patch akzeptiert und an die Vielzahl der Endgeräte-Hersteller verteilt.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. “Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.”

Details zu der Lücke wird Zimperium laut seinem Blogeintrag auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

Seit Juni zahlt Google auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern bis zu 8000 Dollar aus. Ähnliche Programme hatten ihm in der Vergangenheit geholfen, die Sicherheit hauseigener Produkte wie des Browsers Chrome maßgeblich voranzubringen. Seit 2011 hat es über 4 Millionen Dollar an Entdecker von Sicherheitslücken ausgeschüttet.

Was aber die Absicherung alter Android-Geräte betrifft, ist Google überwiegend machtlos, wenn die Hersteller Patches und Updates nicht an die Käufer weiterreichen. So weit als möglich verteilt es wichtige Sicherheitsupdates daher inzwischen über die System-App Google Play-Dienste, die kompatibel bis zurück zu Android 2.3 ist. Der Fehler in Stagefright lässt sich auf diese Weise aber offenbar nicht korrigieren – ähnlich wie im Fall der Android-Komponente WebView, die auf Geräten mit Android 4.3 und älter auf Dauer anfällig bleibt, was rund 930 Millionen Nutzer betrifft.

Im ersten Quartal 2015 zielte 99 Prozent aller Mobilgeräte-Malware auf Android ab, wie F-Secure ermittelt hat. Das hängt mit Androids Offenheit ebenso wie mit seiner Beliebtheit zusammen: 2014 wurden laut Strategy Analytics mehr als eine Milliarde Android-Geräte weltweit verkauft.

Dennoch wird die Sicherheitslage um Android laut Google aufgebauscht. Einem Bericht vom April zufolge gelingt es einer großen Mehrheit der Android-User, die in einem offenen Ökosystem naturgemäß existierenden Gefahren zu vermeiden, etwa indem sie keine App-Installationen aus unbekannten Quellen zulässt. So sei die Zahl der Malware-Installationen unter Android 2014 um 50 Prozent zurückgegangen, behauptet Google. Zum Jahreswechsel habe sich auf nur etwa einem Prozent aller Android-Geräte Schadsoftware befunden.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

KI als Pairing-Partner in der Software-Entwicklung

Pair Programming ist eine verbreitete Methode in der Softwareentwicklung mit vielen positiven Effekten, erklärt Daniel…

9 Stunden ago

Confare #ImpactChallenge 2024 – jetzt einreichen und nominieren

Mit der #ImpactChallenge holt die IT-Plattform Confare IT-Verantwortliche auf die Bühne, die einen besonderen Impact…

13 Stunden ago

Ransomware: Zahlen oder nicht zahlen?

Sollen Unternehmen mit den Ransomware-Angreifern verhandeln und das geforderte Lösegeld zahlen?

17 Stunden ago

KI-gestützter Cobot automatisiert Sichtprüfung

Die manuelle Qualitätsprüfung von Industrieprodukten ist ermüdend und strengt an.  Eine neue Fraunhofer-Lösung will Abhilfe…

1 Tag ago

Digitalisierungsberufe: Bis 2027 fehlen 128.000 Fachkräfte

Studie des Instituts der deutschen Wirtschaft (IW) zeigt, in welchen Digitalisierungsberufen bis 2027 die meisten…

2 Tagen ago

Angriffe auf Automobilbranche nehmen zu

Digitalisierung und Vernetzung der Fahrzeuge, Elektromobilität und autonomes Fahren bieten zahlreiche Angriffspunkte.

2 Tagen ago