Categories: Sicherheit

Stagefright: Telekom blockiert MMS-Empfang

Mobilfunkkunden der Deutschen Telekom empfangen vorübergehende MMS-Nachrichten nicht mehr automatisch. Der Konzern will damit Android-Smartphones vor der kürzlich entdeckten Sicherheitslücke Stagefright schützen. Allerdings betrifft die MMS-Blockade auch Nutzer mit anderen Betriebssystemen. Wie ein Sprecher des Unternehmens auf Anfrage silicon.de-Schwesterseite ZDNet bestätigte, ist dies aus technischen Gründen nicht anders möglich.

Durch die Maßnahme laden sich MMS ab sofort nicht mehr automatisch auf das Handy des Nutzers. An Kunden versendet die Telekom eine SMS, dass sie eine MMS erhalten haben. Darin heißt es “Sie haben eine neue MMS. Sie können diese unter folgendem Link innerhalb von 3 Tagen herunterladen.” Zudem enthält sie die erforderlichen Zugangsdaten für die Website.

Die Sicherheitsfirma Zimperium hatte die Stagefright genannte Schwachstelle Ende Juli entdeckt. Den Namen hat sie von der gleichnamigen Komponente in der Mediaplayer-Engine von Android erhalten. Angreifer können die Lücke ausnutzen, um mit einer MMS beliebige Daten zu stehlen, die auf dem Smartphones gespeichert sind. Davon sollen alle Android-Versionen ab 2.2 betroffen sein.

Wer MMS empfangen will, muss sie sich aufgrund der Maßnahmen gegen die Sicherheitslücke Stagefright bei der Deutschen Telekom jetzt manuell abholen (Screenshot: ZDNet).

Wie die Lücke ausgenutzt werden kann, unterscheidet sich je nach verwendeter Messaging-App. Bei einigen Anwendung genügt es bereits, dass Nutzer die Nachricht aufrufen, ohne jedoch das Video anzusehen. Bei Google Hangouts reicht es bereits, die Nachricht zu empfangen. Die App dekodiert Videos direkt bei Erhalt, um sie fürs Abspielen vorzubereiten.

Ein Google-Sprecher erklärte damals CNET, dass Hersteller bereits einen Patch erhalten haben. Diese müssen ihn an die Nutzer weitergeben. Allerdings ist bislang nicht bekannt, welche Hersteller ihre Geräte wie aktualisieren. Die Telekom führt bereits Gespräche mit Hersteller, wie die Sicherheitslücke behoben werden kann. Sobald es eine Lösung gibt, werde wieder auf den gewohnten MMS-Versand umgestellt.

Zwar zeigt die Telekom mit der Maßnahme Einsatzwillen, allerdings bleibt fraglich, ob damit in Bezug auf die Lücke alle Probleme aus der Welt geschafft sind. Denn Sicherheitsforscher von Trend Micro haben mittlerweile festgestellt, dass sich die Sicherheitslücke nicht nur mit MMS ausnutzen lässt. Ihnen zufolge sind Exploits auch über entsprechend präparierte Websites und Apps möglich.

Laut Trend Micro kann der Android-Dienst Mediaserver nicht korrekt mit einer deformierten MP4-Datei umgehen. “Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben”, führt Sicherheitsforscher Wish Wu in einem Blog aus. “Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.“

Wu und seine Kollegen demonstrierten mit einer präparierten MP4-Datei, dass sich damit der Heap des Mediaservers zum Absturz bringen lässt. Ein Angreifer könnte aber darüber hinaus einen speziellen Datenblock schaffen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen. Außerdem betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun zur Betrachtung die Komponente WebView genutzt, ergaben sich die gleichen Probleme. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurden.

[mit Material von Peter Marwan, ZDNet.de]

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

FTC blockiert Microsofts Übernahme von Activision Blizzard

Die Regulierungsbehörde kündigt eine Klage gegen die Transaktion an. Sie erwartet, dass Microsoft den Zugang…

21 Stunden ago

Cybersecurity-Software findet gefährliche IoT-Schwachstellen

Onekey erweitert Schutz gegen Zero-Day-Attacken und bietet transparente Auflistung von Softwarekomponenten.

22 Stunden ago

Pentagon vergibt Cloud-Auftrag – an AWS, Google, Oracle und Microsoft

Der neue Auftrag hat eine Laufzeit bis Juni 2028. Das Auftragsvolumen sinkt von 10 auf…

23 Stunden ago

Cybersecurity-Maßnahmen: Hochbeliebt bedeutet nicht immer hocheffektiv

Unternehmen in der deutschen Finanzbranche ignorieren signifikante Möglichkeiten zur Verbesserung ihrer Cybersicherheit.

2 Tagen ago

Fitness-App gegen Stress und für geringeres Erkrankungsrisiko

Das Jahresende ist auch die Zeit der guten Vorsätze für das nächste Jahr. Tipps für…

2 Tagen ago

Virtuelles Quantencomputing-Labor für Unternehmen

Tata Consultancy Services bietet virtuelle Forschungs- und Entwicklungsumgebung auf Basis von Amazon Braket.

2 Tagen ago