• IT-Karriere:
  • Services:

IT-Sicherheit: Fehler in Android könnte Millionen Geräte gefährden

Laut einem IT-Sicherheitsforscher lassen sich fast alle im Umlauf befindlichen Geräte vergleichsweise einfach in Wanzen verwandeln. Details gibt es noch nicht, es soll aber mehrere Schwachstellen in Androids Stagefright-Framework geben.

Artikel veröffentlicht am ,
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen.
Der Entdecker der Sicherheitslücken in Android Stagefright hat dazu gleich auch ein Logo entworfen. (Bild: Joshua Drake)

Im Vorfeld der IT-Sicherheitskonferenz Black Hat gibt es eine Meldung, die aufschrecken lässt: Fast alle Android-Geräte haben gravierende Schwachstellen in dem Multimedia-Framework Stagefright. Darüber lässt sich eine speziell präparierte MMS installieren, die letztendlich das betroffene Gerät in eine Wanze verwandeln kann.

Stellenmarkt
  1. Atlas Copco IAS GmbH, Bretten
  2. Deutsche Rentenversicherung Bund, Berlin

Die Lücken hat der IT-Sicherheitsforscher Joshua Drake entdeckt. Details dazu will er aber erst auf der Black Hat USA 2015 Anfang August in Las Vegas bekanntgeben. Forbes berichtet vorab über die Lücke, die Drake die "Mutter aller Android-Lücken" nennt. Laut Drake sind alle Versionen ab Android 2.2 betroffen. Google sei bereits im Mai 2015 darüber informiert worden und hat wohl schon Patches für die insgesamt sieben Lücken (CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829) bereitgestellt.

Erste Hersteller haben bereits gepatcht

Auf dem von Drake verwendeten Nexus 6 seien die Reparaturen bereits umgesetzt worden, heißt es in dem Bericht. Zu Forbes sagte Google allerdings, dass die entsprechenden Updates für seine Nexus-Geräte erst nächste Woche bereitgestellt werden sollen. Mozillas Firefox-Browser soll ab Version 38 sicher sein und Silent Circle habe bereits Patches umgesetzt. Bei Github wiegelte dessen Silent-Circle-Hauptentwickler Moxie Marlinspike aber ab: Damit eine manipulierte MMS auf dem Android-Gerät installiert werden kann, brauche es die Interaktion des Benutzers. Unter dessen Github-Eintrag gibt es eine Liste von Links zu Patches, die in diesem Zusammenhang bereits bei Cyanogenmod erarbeitet wurden.

Dem widerspricht Drake jedoch. Es gebe Applikationen, mit denen der Exploit auch ohne Interaktion funktioniert. Auf Versionen vor Android 4.1 müsse die manipulierte MMS lediglich über Google Hangouts empfangen werden. Sie aktiviere sich dann auch ohne Zutun des Anwenders. Das Multimedia-Framework Stagefright hat weitreichende Rechte, die erst in späteren Versionen von Android eingeschränkt worden sind. Über einen entsprechenden Exploit könnte eine eingeschmuggelte Applikation beispielsweise Audio und Video aufnehmen oder Fotos auf der SD-Karte auslesen. Auch auf die Bluetooth-Schnittstelle hat Stagefright Zugriff.

Hype oder nicht?

Drake ist indes kein Unbekannter, er hat beispielsweise das Android Hacker's Handbook geschrieben. Im Vorfeld der IT-Sicherheitskonferenzen Black Hat und Defcon gibt es aber traditionell zahlreiche gehypte Meldungen über potenzielle Schwachstellen oder Angriffe. Google will allerdings die Patches auch an die Öffentlichkeit bringen, wenn Drake dort seine Vorträge hält. Auch wenn noch Details fehlen - es könnte sich tatsächlich um eine gravierende Sicherheitslücke handeln. Dann bleibt zu hoffen, dass auch die Hersteller schnell reagieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-30%) 41,99€
  2. 39,99€
  3. (-72%) 16,99€
  4. 15,00€

non_sense 28. Jul 2015

Betrifft das Problem wirklich nur, wenn jemand Hangouts verwendet? wenn ja, wieso...

sehr_interessant 28. Jul 2015

...und im Artikel wird es so dargestellt, als ob er der Meinung wäre, dass es generell...

pk_erchner 28. Jul 2015

Automatischer MMS Download deaktivieren https://support.google.com/hangouts/answer...

Anonymer Nutzer 28. Jul 2015

Ich bezweifel irgendwie das 90 Prozent aller Android Geräte über eine SIM-Karte...

Cyber1999 28. Jul 2015

In dem Artikel steht Hangouts explizit beschrieben, hatte es aber in anderen Artikel so...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /