• IT-Karriere:
  • Services:

IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden

Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben.

Artikel veröffentlicht am ,
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

Im Vorfeld der IT-Sicherheitskonferenz Black Hat gibt es eine Meldung, die aufschrecken lässt: Fast alle Android-Geräte haben gravierende Schwachstellen in dem Multimedia-Framework Stagefright. Darüber lässt sich eine speziell präparierte MMS installieren, die letztendlich das betroffene Gerät in eine Wanze verwandeln kann.

Stellenmarkt
  1. ista International GmbH, Essen
  2. Berliner Stadtreinigungsbetriebe (BSR), Berlin

Die Lücken hat der IT-Sicherheitsforscher Joshua Drake entdeckt. Details dazu will er aber erst auf der Black Hat USA 2015 Anfang August in Las Vegas bekanntgeben. Forbes berichtet vorab über die Lücke, die Drake die "Mutter aller Android-Lücken" nennt. Laut Drake sind alle Versionen ab Android 2.2 betroffen. Google sei bereits im Mai 2015 darüber informiert worden und hat wohl schon Patches für die insgesamt sieben Lücken (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) bereitgestellt.

Erste Hersteller haben bereits gepatcht

Auf dem von Drake verwendeten Nexus 6 seien die Reparaturen bereits umgesetzt worden, heißt es in dem Bericht. Zu Forbes sagte Google allerdings, dass die entsprechenden Updates für seine Nexus-Geräte erst nächste Woche bereitgestellt werden sollen. Mozillas Firefox-Browser soll ab Version 38 sicher sein und Silent Circle habe bereits Patches umgesetzt. Bei Github wiegelte dessen Silent-Circle-Hauptentwickler Moxie Marlinspike aber ab: Damit eine manipulierte MMS auf dem Android-Gerät installiert werden kann, brauche es die Interaktion des Benutzers. Unter dessen Github-Eintrag gibt es eine Liste von Links zu Patches, die in diesem Zusammenhang bereits bei Cyanogenmod erarbeitet wurden.

Dem widerspricht Drake jedoch. Es gebe Applikationen, mit denen der Exploit auch ohne Interaktion funktioniert. Auf Versionen vor Android 4.1 müsse die manipulierte MMS lediglich über Google Hangouts empfangen werden. Sie aktiviere sich dann auch ohne Zutun des Anwenders. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Hype oder nicht?

Drake ist indes kein Unbekannter, er hat beispielsweise das Android Hacker's Handbook geschrieben. Im Vorfeld der IT-Sicherheitskonferenzen Black Hat und Defcon gibt es aber traditionell zahlreiche gehypte Meldungen über potenzielle Schwachstellen oder Angriffe. Google will allerdings die Patches auch an die Öffentlichkeit bringen, wenn Drake dort seine Vorträge hält. Auch wenn noch Details fehlen - es könnte sich tatsächlich um eine gravierende Sicherheitslücke handeln. Dann bleibt zu hoffen, dass auch die Hersteller schnell reagieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Heavy Rain für 8,99€, Beyond: Two Souls für 8,99€, Detroit: Become Human für 24...
  2. (u. a. Green Hell für 6,99€, Dead by Daylight für 5,49€, Dying Light - The Following Enhanced...
  3. 23,99€

non_sense 28. Jul 2015

Betrifft das Problem wirklich nur, wenn jemand Hangouts verwendet? wenn ja, wieso...

sehr_interessant 28. Jul 2015

...und im Artikel wird es so dargestellt, als ob er der Meinung wäre, dass es generell...

pk_erchner 28. Jul 2015

Automatischer MMS Download deaktivieren https://support.google.com/hangouts/answer...

Anonymer Nutzer 28. Jul 2015

Ich bezweifel irgendwie das 90 Prozent aller Android Geräte über eine SIM-Karte...

Cyber1999 28. Jul 2015

In dem Artikel steht Hangouts explizit beschrieben, hatte es aber in anderen Artikel so...


Folgen Sie uns
       


Microsoft Flight Simulator - Test

Hardwarehungriger Höhenflug: Der neue FluSi sieht fantastisch aus und spielt sich auch so.

Microsoft Flight Simulator - Test Video aufrufen
Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

    •  /