Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Sicherheitslücke Stagefright 2.0: Neue Gefahr für Millionen Smartphone-Nutzer

Android-Handy: Sicherheitsupdates müssen schneller kommen Zur Großansicht
SPIEGEL ONLINE

Android-Handy: Sicherheitsupdates müssen schneller kommen

Eine Schwachstelle in Googles Android-Betriebssystem bedroht Hunderte Millionen Handys. Mit manipulierten Musik- und Videodateien könnten Hacker Schadsoftware auf die Geräte bringen.

Nachdem Sicherheitsforscher vor Wochen eine Android-Sicherheitslücke namens Stagefright publik gemacht haben, warnen sie nun vor Stagefright 2.0. Die Schwachstelle könne mithilfe von MP3- und MP4-Dateien ausgenutzt werden. Angreifer könnten also Musik und Videos nutzen, um Schadsoftware einzuschleusen oder Daten und Gespräche abzuhören.

Erst vor einem Monat hatten die Experten der Sicherheitsfirma Zimperium die Stagefright-Lücke aufgedeckt. Sie ermöglicht es Angreifern, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Betroffen davon sind alle Android-Versionen ab 2.2. Potenziell seien das 950 Millionen Geräte, rechnete Zimperium vor.

Als Reaktion stellte Google in Aussicht, künftig monatliche Sicherheitsupdates liefern zu wollen. Ein guter Plan, der in der Realität nur wenigen hilft. Vorerst werden die Updates nur für Google-Geräte der Nexus-Reihe, konkret Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player geliefert. Andere Hersteller können die Software zwar auch benutzen, brauchen in der Regel aber Monate für die nötigen Anpassungen.

Für die neue Sicherheitslücke, die Zimperium als Stagefright 2.0 und Google als CVE-2015-6602 bezeichnet, gibt es derzeit allerdings noch keinen Patch.

Ein Sekündchen reicht schon

Eigentlich handele es sich dabei sogar um zwei Lücken, heißt es im Zimperium-Blog. Eine davon betreffe Android seit Version 1.0, also alle bis heute ausgelieferten Geräte. Mit der zweiten Lücke habe man die Schwachstelle in Geräten mit Android 5.0 und höher ausnutzen können.

Die von den Sicherheitsforschern geschilderte Methode, Stagefright 2.0 auszunutzen, hörte sich nicht sonderlich aufwendig an. Das Problem liegt offenbar in der Methode, wie Android Metadaten von Musik- und Videodateien verarbeitet. Deshalb würde es beispielsweise schon ausreichen, wenn das Opfer ein Video oder einen Song nur kurz anspielt, um Zugriff auf das betroffene Gerät zu erlangen.

Keine Panik

Laut Zimperium hat sich Google sehr kooperativ gegeben, nachdem man dem Unternehmen die neue Lücke geschildert hatte. Bereits kommende Woche soll für Nexus-Geräte ein Update bereitgestellt werden, das die neue Sicherheitslücke schließt. Wie lange es dauern wird, bis dieser Software-Flicken auf Geräten anderer Hersteller ankommt, ist unklar. Für viele ältere Geräte, davon kann man ausgehen, wird es ein solches Update gar nicht geben.

Noch ist die neue Veröffentlichung von Zimperium allerdings kein Grund, in Panik auszubrechen: Bisher gebe es keine Anzeichen dafür, dass die Stagefright-2.0-Lücke ausgenutzt wird, schreibt das Unternehmen selbst.

mak

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 31 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Gesetzgeber gefordert
mimak 02.10.2015
Handy-Hersteller, die Patches nicht innerhalb 2 Wochen zur Verfügung stellen können und nicht mindestens 4 Jahre Updates liefern können, sollten mit Verkaufsverbot belegt werden.
2. Hersteller gefordert
darksystem 02.10.2015
Zitat von mimakHandy-Hersteller, die Patches nicht innerhalb 2 Wochen zur Verfügung stellen können und nicht mindestens 4 Jahre Updates liefern können, sollten mit Verkaufsverbot belegt werden.
Unternehmen dazu zu zwingen eine veraltete Software zu warten und zu pflegen ist nicht so trivial wie es sich anhört. Die Hersteller sind gefordert. Das Problem ist auf dem Android Markt gibt es bzgl. Updates keine Konkurrenz. Die meisten große Hersteller schludern damit rum. Ich verstehe nicht warum Hersteller diese Marketinglücke nicht erkennen. "Garantierte Updates für bis zu 5 Jahre und alle neuen Patches direkt am Releasetag" würde sicher einige Kunden dazu bewegen können ein Smartphone von Hersteller X anstatt von Samsung, HTC o.Ä.. zu kaufen. Technisch ist das ebenso wenig trivial, aber machbar. Müsste man mal einen Businessplan erstellen und duchkalkulieren.
3. Übertrieben
wc3nte 02.10.2015
Auf dem PC interessiert es keinen wenn man mal ein Paar Monate kein Update bekommt, im gegenteil da wird noch gemault wenn Updates automatisch ablaufen (Siehe Win10). Schlimm wenn bei jeder Sicherheitslücke ein rießen drama Veranstaltet wird egal ob Android (Google), Windows oder iOS (Apple). Wenn nur etwas aufpasst passiert einem auch nichts, man sollte halt nicht jeden Link auf Facebook offen oder jede x-beliebige "kostenlose MP3 download App" runterladen.
4.
DMenakker 02.10.2015
Zitat von mimakHandy-Hersteller, die Patches nicht innerhalb 2 Wochen zur Verfügung stellen können und nicht mindestens 4 Jahre Updates liefern können, sollten mit Verkaufsverbot belegt werden.
Und Android Nutzern, welche nicht nachweisen können, dass sie den Schrott mit vorgehaltener Waffe am Schädel gekauft haben, ein lebenslanges Telefon-Erwerbs-Verbot. Aber ich muss sagen, ich finde es gut. Obwohl ich von Microsoft ja i.d.R nicht viel halte, sind sie im Mobilfunk das Mass aller Dinge. Es gibt kein besseres Betriebssystem und die Schwachstellen auf Stationären Geräten sind auf mobilen nicht nutzbar. Und wieviel Äbbs es jetzt woanders gibt? Solange noch keiner das Hirneinschaltapp erfunden hat, ist das Jacke wie Hose. Trotz mehrerer iphones und auch div Androids ( in der Familie ). Nokia mit Windows sind das beste, was ich bisher in den Händen hatte.
5.
markus_wienken 02.10.2015
Zitat von DMenakkerUnd Android Nutzern, welche nicht nachweisen können, dass sie den Schrott mit vorgehaltener Waffe am Schädel gekauft haben, ein lebenslanges Telefon-Erwerbs-Verbot. Aber ich muss sagen, ich finde es gut. Obwohl ich von Microsoft ja i.d.R nicht viel halte, sind sie im Mobilfunk das Mass aller Dinge. Es gibt kein besseres Betriebssystem und die Schwachstellen auf Stationären Geräten sind auf mobilen nicht nutzbar. Und wieviel Äbbs es jetzt woanders gibt? Solange noch keiner das Hirneinschaltapp erfunden hat, ist das Jacke wie Hose. Trotz mehrerer iphones und auch div Androids ( in der Familie ). Nokia mit Windows sind das beste, was ich bisher in den Händen hatte.
Jedes System hat seine Vor- und Nachteile. Leider kommt Windows auf dem Smartphone wegen mir fehlender Apps nicht in Frage.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: