Stagefright: Telekom blockiert MMS-Empfang

Stagefright (Bild: Zimperium)

MMS-Nachrichten laden sich nicht mehr automatisch herunter. Dabei handelt es sich um eine zeitlich begrenzte Maßnahme. Sie soll Android-Geräte vor Angriffen über die Schwachstelle Stagefright schützen. Nutzer müssen MMS vorerst manuell abrufen.

Mobilfunkkunden der Deutschen Telekom empfangen vorübergehende MMS-Nachrichten nicht mehr automatisch. Der Konzern will damit Android-Smartphones vor der kürzlich entdeckten Sicherheitslücke Stagefright schützen. Allerdings betrifft die MMS-Blockade auch Nutzer mit anderen Betriebssystemen. Wie ein Sprecher des Unternehmens auf Anfrage silicon.de-Schwesterseite ZDNet bestätigte, ist dies aus technischen Gründen nicht anders möglich.

Durch die Maßnahme laden sich MMS ab sofort nicht mehr automatisch auf das Handy des Nutzers. An Kunden versendet die Telekom eine SMS, dass sie eine MMS erhalten haben. Darin heißt es “Sie haben eine neue MMS. Sie können diese unter folgendem Link innerhalb von 3 Tagen herunterladen.” Zudem enthält sie die erforderlichen Zugangsdaten für die Website.

Die Sicherheitsfirma Zimperium hatte die Stagefright genannte Schwachstelle Ende Juli entdeckt. Den Namen hat sie von der gleichnamigen Komponente in der Mediaplayer-Engine von Android erhalten. Angreifer können die Lücke ausnutzen, um mit einer MMS beliebige Daten zu stehlen, die auf dem Smartphones gespeichert sind. Davon sollen alle Android-Versionen ab 2.2 betroffen sein.

Wer MMS empfangen will, muss sie sich aufgrund der Maßnahmen gegen die Sicherheitslücke Stagefright bei der Deutschen Telekom jetzt manuell abholen (Screenshot: ZDNet).
Wer MMS empfangen will, muss sie sich aufgrund der Maßnahmen gegen die Sicherheitslücke Stagefright bei der Deutschen Telekom jetzt manuell abholen (Screenshot: ZDNet).

Wie die Lücke ausgenutzt werden kann, unterscheidet sich je nach verwendeter Messaging-App. Bei einigen Anwendung genügt es bereits, dass Nutzer die Nachricht aufrufen, ohne jedoch das Video anzusehen. Bei Google Hangouts reicht es bereits, die Nachricht zu empfangen. Die App dekodiert Videos direkt bei Erhalt, um sie fürs Abspielen vorzubereiten.

Ein Google-Sprecher erklärte damals CNET, dass Hersteller bereits einen Patch erhalten haben. Diese müssen ihn an die Nutzer weitergeben. Allerdings ist bislang nicht bekannt, welche Hersteller ihre Geräte wie aktualisieren. Die Telekom führt bereits Gespräche mit Hersteller, wie die Sicherheitslücke behoben werden kann. Sobald es eine Lösung gibt, werde wieder auf den gewohnten MMS-Versand umgestellt.

Zwar zeigt die Telekom mit der Maßnahme Einsatzwillen, allerdings bleibt fraglich, ob damit in Bezug auf die Lücke alle Probleme aus der Welt geschafft sind. Denn Sicherheitsforscher von Trend Micro haben mittlerweile festgestellt, dass sich die Sicherheitslücke nicht nur mit MMS ausnutzen lässt. Ihnen zufolge sind Exploits auch über entsprechend präparierte Websites und Apps möglich.

Laut Trend Micro kann der Android-Dienst Mediaserver nicht korrekt mit einer deformierten MP4-Datei umgehen. “Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben”, führt Sicherheitsforscher Wish Wu in einem Blog aus. “Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.“

Wu und seine Kollegen demonstrierten mit einer präparierten MP4-Datei, dass sich damit der Heap des Mediaservers zum Absturz bringen lässt. Ein Angreifer könnte aber darüber hinaus einen speziellen Datenblock schaffen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen. Außerdem betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun zur Betrachtung die Komponente WebView genutzt, ergaben sich die gleichen Probleme. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurden.

[mit Material von Peter Marwan, ZDNet.de]