Abo
  • Services:

IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden

Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben.

Artikel veröffentlicht am ,
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

Im Vorfeld der IT-Sicherheitskonferenz Black Hat gibt es eine Meldung, die aufschrecken lässt: Fast alle Android-Geräte haben gravierende Schwachstellen in dem Multimedia-Framework Stagefright. Darüber lässt sich eine speziell präparierte MMS installieren, die letztendlich das betroffene Gerät in eine Wanze verwandeln kann.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Fritz Kübler GmbH, Villingen-Schwenningen

Die Lücken hat der IT-Sicherheitsforscher Joshua Drake entdeckt. Details dazu will er aber erst auf der Black Hat USA 2015 Anfang August in Las Vegas bekanntgeben. Forbes berichtet vorab über die Lücke, die Drake die "Mutter aller Android-Lücken" nennt. Laut Drake sind alle Versionen ab Android 2.2 betroffen. Google sei bereits im Mai 2015 darüber informiert worden und hat wohl schon Patches für die insgesamt sieben Lücken (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) bereitgestellt.

Erste Hersteller haben bereits gepatcht

Auf dem von Drake verwendeten Nexus 6 seien die Reparaturen bereits umgesetzt worden, heißt es in dem Bericht. Zu Forbes sagte Google allerdings, dass die entsprechenden Updates für seine Nexus-Geräte erst nächste Woche bereitgestellt werden sollen. Mozillas Firefox-Browser soll ab Version 38 sicher sein und Silent Circle habe bereits Patches umgesetzt. Bei Github wiegelte dessen Silent-Circle-Hauptentwickler Moxie Marlinspike aber ab: Damit eine manipulierte MMS auf dem Android-Gerät installiert werden kann, brauche es die Interaktion des Benutzers. Unter dessen Github-Eintrag gibt es eine Liste von Links zu Patches, die in diesem Zusammenhang bereits bei Cyanogenmod erarbeitet wurden.

Dem widerspricht Drake jedoch. Es gebe Applikationen, mit denen der Exploit auch ohne Interaktion funktioniert. Auf Versionen vor Android 4.1 müsse die manipulierte MMS lediglich über Google Hangouts empfangen werden. Sie aktiviere sich dann auch ohne Zutun des Anwenders. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Hype oder nicht?

Drake ist indes kein Unbekannter, er hat beispielsweise das Android Hacker's Handbook geschrieben. Im Vorfeld der IT-Sicherheitskonferenzen Black Hat und Defcon gibt es aber traditionell zahlreiche gehypte Meldungen über potenzielle Schwachstellen oder Angriffe. Google will allerdings die Patches auch an die Öffentlichkeit bringen, wenn Drake dort seine Vorträge hält. Auch wenn noch Details fehlen - es könnte sich tatsächlich um eine gravierende Sicherheitslücke handeln. Dann bleibt zu hoffen, dass auch die Hersteller schnell reagieren.



Anzeige
Top-Angebote
  1. (nur bis Montag 9 Uhr)
  2. für 134,98€/176,98€ (Bestpreise!)
  3. (u. a. Mass Effect: Andromeda PS4/XBO für 15€, Mission Impossible 1-5 Box 14,99€ und Acer...
  4. 93,95€ (Bestpreis!)

non_sense 28. Jul 2015

Betrifft das Problem wirklich nur, wenn jemand Hangouts verwendet? wenn ja, wieso...

sehr_interessant 28. Jul 2015

...und im Artikel wird es so dargestellt, als ob er der Meinung wäre, dass es generell...

pk_erchner 28. Jul 2015

Automatischer MMS Download deaktivieren https://support.google.com/hangouts/answer...

Anonymer Nutzer 28. Jul 2015

Ich bezweifel irgendwie das 90 Prozent aller Android Geräte über eine SIM-Karte...

Cyber1999 28. Jul 2015

In dem Artikel steht Hangouts explizit beschrieben, hatte es aber in anderen Artikel so...


Folgen Sie uns
       


LG G7 Thinq - Test

Das G7 Thinq ist LGs zweites Smartphone unter der Thinq-Dachmarke. Das Gerät hat eine Kamera, die mit Hilfe künstlicher Intelligenz Bildinhalte analysiert und anhand der Analyseergebnisse die Bildeinstellungen verändert. Mit äußerster Vorsicht sollten Nutzer die Gesichtsentsperrung verwenden, da sie sich in der Standardeinstellung spielend leicht austricksen lässt.

LG G7 Thinq - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
    Anthem angespielt
    Action in fremder Welt und Abkühlung im Wasserfall

    E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

    1. Dying Light 2 Stadtentwicklung mit Schwung
    2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
    3. Control Remedy Entertainment mit übersinnlichen Räumen

    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

      •  /