Abo
  • Services:

IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden

Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben.

Artikel veröffentlicht am ,
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

Im Vorfeld der IT-Sicherheitskonferenz Black Hat gibt es eine Meldung, die aufschrecken lässt: Fast alle Android-Geräte haben gravierende Schwachstellen in dem Multimedia-Framework Stagefright. Darüber lässt sich eine speziell präparierte MMS installieren, die letztendlich das betroffene Gerät in eine Wanze verwandeln kann.

Stellenmarkt
  1. Qimia GmbH, Köln
  2. Gentherm GmbH, Odelzhausen

Die Lücken hat der IT-Sicherheitsforscher Joshua Drake entdeckt. Details dazu will er aber erst auf der Black Hat USA 2015 Anfang August in Las Vegas bekanntgeben. Forbes berichtet vorab über die Lücke, die Drake die "Mutter aller Android-Lücken" nennt. Laut Drake sind alle Versionen ab Android 2.2 betroffen. Google sei bereits im Mai 2015 darüber informiert worden und hat wohl schon Patches für die insgesamt sieben Lücken (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) bereitgestellt.

Erste Hersteller haben bereits gepatcht

Auf dem von Drake verwendeten Nexus 6 seien die Reparaturen bereits umgesetzt worden, heißt es in dem Bericht. Zu Forbes sagte Google allerdings, dass die entsprechenden Updates für seine Nexus-Geräte erst nächste Woche bereitgestellt werden sollen. Mozillas Firefox-Browser soll ab Version 38 sicher sein und Silent Circle habe bereits Patches umgesetzt. Bei Github wiegelte dessen Silent-Circle-Hauptentwickler Moxie Marlinspike aber ab: Damit eine manipulierte MMS auf dem Android-Gerät installiert werden kann, brauche es die Interaktion des Benutzers. Unter dessen Github-Eintrag gibt es eine Liste von Links zu Patches, die in diesem Zusammenhang bereits bei Cyanogenmod erarbeitet wurden.

Dem widerspricht Drake jedoch. Es gebe Applikationen, mit denen der Exploit auch ohne Interaktion funktioniert. Auf Versionen vor Android 4.1 müsse die manipulierte MMS lediglich über Google Hangouts empfangen werden. Sie aktiviere sich dann auch ohne Zutun des Anwenders. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Hype oder nicht?

Drake ist indes kein Unbekannter, er hat beispielsweise das Android Hacker's Handbook geschrieben. Im Vorfeld der IT-Sicherheitskonferenzen Black Hat und Defcon gibt es aber traditionell zahlreiche gehypte Meldungen über potenzielle Schwachstellen oder Angriffe. Google will allerdings die Patches auch an die Öffentlichkeit bringen, wenn Drake dort seine Vorträge hält. Auch wenn noch Details fehlen - es könnte sich tatsächlich um eine gravierende Sicherheitslücke handeln. Dann bleibt zu hoffen, dass auch die Hersteller schnell reagieren.



Anzeige
Blu-ray-Angebote

non_sense 28. Jul 2015

Betrifft das Problem wirklich nur, wenn jemand Hangouts verwendet? wenn ja, wieso...

sehr_interessant 28. Jul 2015

...und im Artikel wird es so dargestellt, als ob er der Meinung wäre, dass es generell...

pk_erchner 28. Jul 2015

Automatischer MMS Download deaktivieren https://support.google.com/hangouts/answer...

Anonymer Nutzer 28. Jul 2015

Ich bezweifel irgendwie das 90 Prozent aller Android Geräte über eine SIM-Karte...

Cyber1999 28. Jul 2015

In dem Artikel steht Hangouts explizit beschrieben, hatte es aber in anderen Artikel so...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
NGT Cargo: Der Güterzug der Zukunft fährt 400 km/h
NGT Cargo
Der Güterzug der Zukunft fährt 400 km/h

Güterzüge sind lange, laute Gebilde, die langsam durch die Lande zuckeln. Das soll sich ändern: Das DLR hat ein Konzept für einen automatisiert fahrenden Hochgeschwindigkeitsgüterzug entwickelt, der schneller ist als der schnellste ICE.
Ein Bericht von Werner Pluta


    Job-Porträt Cyber-Detektiv: Ich musste als Ermittler über 1.000 Onanie-Videos schauen
    Job-Porträt Cyber-Detektiv
    "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Online-Detektive müssen permanent löschen, wo unvorsichtige Internetnutzer einen digitalen Flächenbrand gelegt haben. Mathias Kindt-Hopffer hat Golem.de von seinem Berufsalltag erzählt.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
    3. IT-Jobs "Jedes Unternehmen kann es besser machen"

    E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
    E-Mail-Verschlüsselung
    "90 Prozent des Enigmail-Codes sind von mir"

    Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
    Ein Interview von Jan Weisensee

    1. SigSpoof Signaturen fälschen mit GnuPG
    2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

      •  /