Sonntag, 21. April 2019

Experte: "Mutter aller Android-Schwachstellen" Sicherheitslücke bedroht fast alle Android-Smartphones

Logo der Sicherheitslücke Stagefright: 95 Prozent aller Android-Geräte betroffen

Googles Smartphone-Betriebssystem Android hat offenbar ein gravierendes Sicherheitsproblem. Die Sicherheitsfirma Zimperium hat eine Schwachstelle veröffentlicht, die es Hackern ermöglicht, ohne das Zutun des Nutzers per MMS auf die Daten von Android-Smartphones zuzugreifen. Bisher scheint die Schwachstelle jedoch noch nicht ausgenutzt zu werden.

Im Blog des Unternehmens bezeichnet der Entdecker der Sicherheitslücke, Joshua Drake, seinen Fund als "Mutter aller Android-Schwachstellen". Das begründet er unter anderem mit der großen Zahl der Betroffenen. 95 Prozent aller Android-Nutzer könnten mit der Methode angegriffen werden, sicher seien nur ältere Versionen, vor Versionsnummer Android 2.2. Damit würde die Lücke auf schätzungsweise 950 Millionen Geräten bestehen. Heimtückisch ist der mögliche Angriff vor allem, da er ohne Zutun des Nutzers funktioniert und von diesem unter Umständen kaum bemerkt werden kann.

Nutzer müssen die Nachricht nicht einmal öffnen

Schuld ist Zimperium zufolge die Multimedia-Schnittstelle Stagefright. Per MMS oder Hangouts-Nachricht könnten sich Angreifer Zugriff auf das Smartphone ihres Opfers verschaffen. Dafür benötigen sie lediglich dessen Telefonnummer. Der Trick: Ein an die Nachricht angehängter Exploit-Code mache über eine Schwachstelle in Stagefright den Weg zu den Daten des Nutzers frei, erklärte Drake dem Magazin "Forbes".

Dafür müsse dieser die Nachricht nicht einmal öffnen. Damit der Code funktioniert, reiche es aus, wenn sie vom Android-System verarbeitet werde. Denn Stagefright lädt angehängte Videodateien automatisch vor. In einigen Fällen könne der Code die Nachricht sogar wieder löschen, sodass der Nutzer keinerlei Hinweis darauf hätte, dass sein Handy gekapert wurde.

Smartphone kann unbemerkt zur Wanze werden

Je nach Einstellungen könnten nicht nur Daten vom Smartphone entwendet werden. Angreifer könnten sich auch Zugriff auf Kamera und Mikrophon des Handys verschaffen und so das Android-Gerät als Wanze einsetzen und unbemerkt Ton- oder Videomitschnitte machen.

Zimperium will die Lücke bereits im April an Google gemeldet haben. "Sobald wir auf die Sicherheitslücke aufmerksam gemacht wurden, haben wir umgehend reagiert und ein Sicherheits-Update an unsere Partner geschickt", sagt ein Google-Sprecher. Die Lücke sei lediglich "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden, nach Googles Erkenntnissen sei derzeit "niemand davon betroffen".

Traditionell dauert es allerdings lange, bis Android-Updates über die Hersteller ihren Weg auf die Smartphones der Nutzer finden. Laut "Forbes" hat noch kein einziger Hardware-Hersteller die Sicherheitslücke geschlossen. Auch Google selbst habe bestätigt, erst Anfang nächster Woche ein Update für Nexus-Geräte bereitzustellen.

Bis dahin wird das auch nötig sein, denn Zimperium hat angekündigt, die Lücke auf der Hackerkonferenz BlackHat, die nächste Woche in Las Vegas beginnt, vollständig zu veröffentlichen.

ts/mos/afp

© manager magazin 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung