Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Smartphones: Sicherheitslücke bedroht angeblich 950 Millionen Android-Geräte

Logo der Sicherheitslücke Stagefright: 95 Prozent aller Android-Geräte betroffen. Zur Großansicht
Zimperium

Logo der Sicherheitslücke Stagefright: 95 Prozent aller Android-Geräte betroffen.

"Die Mutter aller Android-Schwachstellen": So nennt ein Sicherheitsforscher eine neue Sicherheitslücke in Googles Betriebssystem. Per MMS könnten sich Hacker Zugang zu Millionen Smartphones verschaffen.

Googles Smartphone-Betriebssystem Android hat offenbar ein gravierendes Sicherheitsproblem. Die Sicherheitsfirma Zimperium hat eine Schwachstelle veröffentlicht, die es Hackern ermöglicht, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Bisher scheint die Schwachstelle jedoch noch nicht ausgenutzt zu werden.

Im Blog des Unternehmens bezeichnet der Entdecker der Sicherheitslücke, Joshua Drake, seinen Fund als "Mutter aller Android-Schwachstellen". Das begründet er unter anderem mit der großen Zahl der Betroffenen. 95 Prozent aller Android-Nutzer könnten mit der Methode angegriffen werden, sicher seien nur ältere Versionen, vor Versionsnummer Android 2.2. Damit würde die Lücke auf schätzungsweise 950 Millionen Geräten bestehen. Heimtückisch ist der mögliche Angriff vor allem, da er ohne Zutun des Nutzers funktioniert und von diesem unter Umständen kaum bemerkt werden kann.

Nutzer müssen die Nachricht nicht einmal öffnen

Schuld ist Zimperium zufolge die Multimedia-Schnittstelle Stagefright. Per MMS oder Hangouts-Nachricht könnten sich Angreifer Zugriff auf das Smartphone ihres Opfers verschaffen. Dafür benötigen sie lediglich dessen Telefonnummer. Der Trick: Ein an die Nachricht angehängter Exploit-Code mache über eine Schwachstelle in Stagefright den Weg zu den Daten des Nutzers frei, erklärte Drake dem Magazin "Forbes".

Dafür müsse dieser die Nachricht nicht einmal öffnen. Damit der Code funktioniert, reiche es aus, wenn sie vom Android-System verarbeitet werde. Denn Stagefright lädt angehängte Videodateien automatisch vor. In einigen Fällen könne der Code die Nachricht sogar wieder löschen, sodass der Nutzer keinerlei Hinweis darauf hätte, dass sein Handy gekapert wurde.

Smartphone kann unbemerkt zur Wanze werden

Je nach Einstellungen könnten nicht nur Daten vom Smartphone entwendet werden. Angreifer könnten sich auch Zugriff auf Kamera und Mikrophon des Handys verschaffen und so das Android-Gerät als Wanze einsetzen und unbemerkt Ton- oder Videomitschnitte machen.

Zimperium will die Lücke bereits im April an Google gemeldet haben. "Sobald wir auf die Sicherheitslücke aufmerksam gemacht wurden, haben wir umgehend reagiert und ein Sicherheits-Update an unsere Partner geschickt", sagt ein Google-Sprecher. Die Lücke sei lediglich "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden, nach Googles Erkenntnissen sei derzeit "niemand davon betroffen".

Traditionell dauert es allerdings lange, bis Android-Updates über die Hersteller ihren Weg auf die Smartphones der Nutzer finden. Laut "Forbes" hat noch kein einziger Hardware-Hersteller die Sicherheitslücke geschlossen. Auch Google selbst habe bestätigt, erst Anfang nächster Woche ein Update für Nexus-Geräte bereitzustellen.

Bis dahin wird das auch nötig sein, denn Zimperium hat angekündigt, die Lücke auf der Hackerkonferenz BlackHat, die nächste Woche in Las Vegas beginnt, vollständig zu veröffentlichen.

mos/afp

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 44 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Die Mutter aller Probleme ist abschaltbar
dasauge17 28.07.2015
indem man auf die veraltete MMS-Technologie verzichtet.
2.
Konstruktor 28.07.2015
Zitat von dasauge17indem man auf die veraltete MMS-Technologie verzichtet.
Das hilft nicht wirklich, denn dieselbe defekte Bibliothek wird z.B. auch von Browsern benutzt, um Medien-Inhalte darzustellen. Es führt kein Weg daran vorbei, wirklich die eigentlichen Bugs zu fixen – was für die allermeisten Android-Geräte aber nie passieren wird.
3.
nivh 28.07.2015
schade das es komplett veröffentlicht wird ohne das ein Update zur Verfügung steht. anstatt einigermaßen gewissenhaft mit dem Wissen der Lücke umzugehen, sucht der Herr Entdecker lieber das Rampenlicht für 5 Minuten und gibt so noch die Möglichkeit, dass andere Idioten die Lücke nutzen können. Menschen, einer wie der andere, denken nur an den eigenen Vorteil....
4. Tipps
SentinelBorg 28.07.2015
Vorneweg sei gesagt, dass diese Lücke vor allem Geräte mit einer Android Version kleiner 4.1 betrifft. Seit 4.1 gibt es zusätzliche Sicherheitsmassnahmen die das Ausnutzen der Lücke und den möglichen Schaden verringern. Zudem gibt es die Option das automatische Empfangen von MMS abzuschalten. Bei Samsung z.B. wie folgt: - Nachrichten App - Menu -> Einstellungen -> MMS - "Automatisch abrufen" deaktivieren
5. Androids große Schwäche
lrkn 28.07.2015
Zitat von dasauge17indem man auf die veraltete MMS-Technologie verzichtet.
Sie können gerne auf MMS verzichten aber Hangouts können Sie nicht deaktivieren oder deintsallieren. Und es ist nicht der überbringer der schlechten Nachricht schuld, dass es diesen Bug gibt. Es ist üblich, dass Hacker die Friemn (in dem Fall Google) über den Bug informiert und nach einer gewissen Zeit die Öffentlichkeit informiert. Das Problem bei Android sind die Mobilfunkfirmen und Handyhersteller. Diese müssen die Updtaes erst prüfen und Freigeben. Und gerade bei älteren Modellen passiert das nicht mehr. Der Aufwand ist denen einfach zu groß und sie konzentrieren sich schon auf die neuen Modelle. Wenn diese Bug wirklich wie beschrieben funktioniert, kann man 99% aller Androidhandys als unsicher einstufen. Und das wird sich nie ändern, bis alle Androidnutzer neue Geräte haben.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: