Android: Sicherheitslücke ermöglicht Datendiebstahl per MMS

Der Fehler steckt in der Mediaplayer-Engine Stagefright. Betroffen sind möglicherweise alle Endgeräte mit Android ab Version 2.2 - oder mindestens 95 Prozent. Google hat die Hersteller mit Patches ausgestattet. Anfang August will Zimperium Details veröffentlichen.

Die Sicherheitsfirma Zimperium berichtet von einer Schwachstelle in Android, die in Stagefright steckt – der Mediaplayer-Engine von Android. In Anlehnung an diese Komponente bezeichnen die Forscher auch die Lücke selbst als „Stagefright“ (zu Deutsch übrigens „Bühnenangst“). Angeblich lassen sich mit einer simplen MMS beliebige Daten stehlen, die auf dem Smartphone vorliegen. 95 Prozent aller Android-Geräte sollen betroffen sein.

Stagefright (Bild: Zimperium)Um die „Mutter aller Android-Lücken“ zu nutzen, wie Zimperium formuliert, muss man ein Video per MMS an das Gerät senden. Vermutlich sind alle Android-Versionen ab 2.2 anfällig, nicht aber noch ältere. Je nach verwendeter Messaging-App muss der Nutzer die Nachricht aufrufen – aber nicht unbedingt das Video ansehen. Wer aber Google Hangouts als Messaging-App einsetzt, wird schon durch den Empfang selbst infiziert, berichtet Zimperium, da dieses Programm das Video gleich bei Erhalt dekodiere, um es fürs Abspielen vorzubereiten.

Die Lücke hatte Zimperium im April an Google gemeldet. Sie wurde jetzt via NPR und auch im Blog von Zimperium öffentlich gemacht. Die Forscher glauben, dass sie bisher nicht ausgenutzt wird. Google hat demnach einen von Zimperium angebotenen Patch akzeptiert und an die Vielzahl der Endgeräte-Hersteller verteilt.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. „Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.“

Details zu der Lücke wird Zimperium laut seinem Blogeintrag auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

Seit Juni zahlt Google auch Prämien für in seinem Mobilbetriebssystem Android gefundene Sicherheitslücken. Hinweise auf Schwachstellen belohnt es im Rahmen des Android Security Rewards Program mit mindestens 500 Dollar. Je nach Schwere der gefundenen Anfälligkeit schüttet der Internetkonzern bis zu 8000 Dollar aus. Ähnliche Programme hatten ihm in der Vergangenheit geholfen, die Sicherheit hauseigener Produkte wie des Browsers Chrome maßgeblich voranzubringen. Seit 2011 hat es über 4 Millionen Dollar an Entdecker von Sicherheitslücken ausgeschüttet.

Android-Logo (Bild: Google)Was aber die Absicherung alter Android-Geräte betrifft, ist Google überwiegend machtlos, wenn die Hersteller seine Patches und Updates nicht an die Käufer weiterreichen. So weit als möglich verteilt es wichtige Sicherheitsupdates daher inzwischen über seine System-App Google Play-Dienste, die kompatibel bis zurück zu Android 2.3 ist. Der Fehler in Stagefright lässt sich auf diese Weise aber offenbar nicht korrigieren – ähnlich wie im Fall der Android-Komponente WebView, die auf Geräten mit Android 4.3 und älter auf Dauer anfällig bleibt, was rund 930 Millionen Nutzer betrifft.

Im ersten Quartal 2015 zielte 99 Prozent aller Mobilgeräte-Malware auf Android ab, wie F-Secure ermittelt hat. Das hängt mit Androids Offenheit ebenso wie mit seiner Beliebtheit zusammen: 2014 wurden laut Strategy Analytics mehr als eine Milliarde Android-Geräte weltweit verkauft.

Dennoch wird die Sicherheitslage um Android laut Google aufgebauscht. Einem Bericht vom April zufolge gelingt es einer großen Mehrheit der Android-User, die in einem offenen Ökosystem naturgemäß existierenden Gefahren zu vermeiden, etwa indem sie keine App-Installationen aus unbekannten Quellen zulässt. So sei die Zahl der Malware-Installationen unter Android 2014 um 50 Prozent zurückgegangen, behauptete Google. Zum Jahreswechsel habe sich auf nur etwa einem Prozent aller Android-Geräte eine Schadsoftware befunden.

[mit Material von Don Reisinger, News.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Google, Messenger, Sicherheit, Video, Zimperium

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Android: Sicherheitslücke ermöglicht Datendiebstahl per MMS

Kommentar hinzufügen
  • Am 28. Juli 2015 um 21:08 von PeerH

    Und wieder das Schweigen im Walde von ‚hicks‘, ‚Judas Ischias‘, Special ‚punisher‘ ‚C‘, und unserer Freundin ‚Sabine‘. Keine Spucke, Finger lahm? ;-)

    Apple … vielleicht kommt ja jetzt was? ;-)

    „95 Prozent aller Android-Geräte sollen betroffen sein.“
    „Im ersten Quartal 2015 zielte 99 Prozent aller Mobilgeräte-Malware auf Android ab…“
    „WebView, die auf Geräten mit Android 4.3 und älter auf Dauer anfällig bleibt, was rund 930 Millionen Nutzer betrifft“

    Und was tut man, wenn „Google überwiegend machtlos ist“ (sie hätten ja ein gutes Update Konzept Android mitgeben können? ;-))?

    Schönfärben: „So sei die Zahl der Malware-Installationen unter Android 2014 um 50 Prozent zurückgegangen, behauptete Google. Zum Jahreswechsel habe sich auf nur etwa einem Prozent aller Android-Geräte eine Schadsoftware befunden.“

    • Am 28. Juli 2015 um 23:01 von Judas Ischias

      Es reicht doch wenn Du den Senf dazu gibst, müssen andere Leute nicht auch noch machen. ;)
      Heisst aber nicht, dass man es nicht trotzdem schlimm findet, auch wenn man sich nicht dazu äußert, womit wieder der erste Satz in’s Spiel kommt.

      • Am 29. Juli 2015 um 13:21 von Nein nein

        Nein, schlimm findest Du nur Dinge die von Apple sind, zu katastrophalen Android Fehlern fällt Dir nie etwas ein. Nichz drum herum reden, ist doch so.

      • Am 29. Juli 2015 um 14:07 von Hi, hi...

        …Du hast schon Recht @JI, man muss nicht immer alles kommentieren.
        Aber bei dieser Meldung, die ja nun wirklich extrem viele Android-Modelle betrifft, ist die androide Meinungsäußerung schon seeeeehr zurückhaltend.
        Ich persönlich warte ja auf einen Kommentar vom einsamen Großbuchstaben, der recht oft und gern von sich behauptet NICHT NUR Apple zu kritisieren (und das alibiweise gelegentlich sogar macht). Oder auch vom hicks-hamster, der Objektivität und Toleranz ganz besonders gefre…, äh, verinnerlicht hat.
        Du darfst ruhig so zugebend sein, dass das androide Geschrei hier bis zum Mt. Everest zu hören wäre, hätte iOS diese Schwachstelle.

        • Am 30. Juli 2015 um 0:41 von Judas Ischias

          Der Fehler ist schlimm, da gibt es nichts zu beschönigen.
          Aber wie würde PeerH schreiben?
          Der Fix ist raus. Wobei es Apple natürlich auch leichter hat, bei den wenigen Geräten und auch dass die Beseitigung der Fehler nur in der Hand von Apple liegt.
          Jetzt sind die Hersteller gefordert, zu melden, welche Geräte (noch) betroffen sind, bei welchen der Fehler nicht mehr vorhanden ist.
          Warum Google da nicht mehr Druck ausüben kann/will, weiß nur Google ganz alleine, auch wenn PeerH oft den Eindruck erweckt, dass Er voll die Ahnung und den Durchblick hat, was da bei Google passiert.
          Und dass das Geschrei „bis zum Everest“ zu hören wäre, liegt wohl eher daran, dass es hier Spezis von Apple gibt, die schon mal behaupten dass Apple sicher ist und wenn so etwas tatsächlich mal vorkommen sollte, dass diese Fehler sofort beseitigt würden.
          Mich betrifft die Angelegenheit sowieso nicht, da ich noch nie die Funktion für MMS freigeschaltet habe, da ich die Mobilfunkbetreiber mit solch einem teuren Kram, nicht noch reicher machen will.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *