"Stagefright 2.0": Das Android-Problem ist nicht gelöst

(c) Bloomberg (Chris Goodney)
  • Drucken

Die eine Android-Lücke ist noch nicht bekämpft, entdecken Forscher bereits die nächste große Schwachstelle in Androids Methodik, Audio- und Videodaten zu verarbeiten.

Im August sorgte eine schwerwiegende Sicherheitslücke in Googles Android-Betriebssystem dafür, dass Hacker durch speziell präparierte MMS-Nachrichten die Kontrolle über fremde Smartphones übernehmen konnten. Betroffen waren zig Millionen Geräte. Die Sicherheitsforscher, die diese Lücke entdeckten, warnen nun erneut vor einem massiven Problem in Android. Betroffen sollen bis zu eine Milliarde Nutzer sein.

Bei Stagefright 2.0 handelt es sich um eine Lücke, die mit Hilfe von MP3- und MP4-Dateien ausgenutzt werden kann. Fremdzugriffe werden durch Musik und Videos genutzt, wodurch Schadsoftware eingespielt werden kann, um Daten zu kopieren, oder aktuelle Gespräche mitzuhören.

Viele Parallelen zu "Stagefright"

Die insgesamt sieben miteinander verwandten Sicherheitslücken befinden sich in einer Softwarekomponente namens „Stagefright“ (dt. „Lampenfieber“), die von Android zur Verarbeitung und Anzeige von Video- und Bilddateien verwendet wird, so Drake, Co-Autor des „Android Hacker's Handbook“. Und genau setzt auch "Stagefright 2.0" an.

Die von Google versprochenen monatlichen Software-Updates sind zwar ein guter Vorsatz, bringen dem Großteil der Nutzer nur bislang nichts. Denn Google wird vorerst nur die eigenen Nexus-Geräte mit Sicherheits-Updates versorgen. Konkret handelt es sich dabei um das Nexus 4,5,6,7,9 und 10.

Den Herstellern ist es zwar möglich die vorhandene Google-Software zu verwenden, aber zeitnahe Updates darf man nicht erwarten. In der Regel vergehen mehrere Wochen oder sogar Monate bis ein sogenannter Bugfix ausgespielt werden kann. Im Gegensatz zu Apple müssen die Hersteller die Software aufgrund der vorangegangenen Anpassungen adaptieren und anpassen. Im nächsten Schritt werden diese Veränderungen an Google zur Abnahme geschickt. Dann ist es aber noch nicht geschafft, denn natürlich müssen die Geräte, sofern sie von einem Mobilfunkprovider kommen, dort auch nochmals aufgrund diverser Vorrichtungen getestet werden. Erst dann findet das Update seinen Weg zum Nutzer.

Dringender Update-Handlungsbedarf

Aufgrund der Vorkommnisse überlegt man aber entsprechende Änderungen in der Zusammenarbeit im Rahmen des AOSP (Android-Open-Source-Projekts), um derartige Verzögerungen in Zukunft zu vermeiden und Updates schneller auszuspielen.

Für die neue Sicherheitslücke "Stagefright 2.0" gibt es zudem überhaupt noch keinen Patch, wodurch das Update in noch weitere Ferne rückt. Die Lücke wurde umgehend nach der Entdeckung am 15. August an Google gemeldet.

Insgesamt, so berichten die Forscher gibt es drei mögliche Angriffswege. Einerseits könnten Nutzer auf eine manipulierte Webseite mittels Mails oder SMS geleitet werden. Andererseits wäre es auch über unbekannte, offene Netze (öffentliche WLAN-Verbindungen) oder bereits kompromittierte Router möglich. Auch unverschlüsselte Webseiten (https = verschlüsselt) können ausreichen.

Bislang wurden keine derartigen Angriffe verzeichnet. Dennoch sollte man in nächster Zeit vermehrt auf sein Surfverhalten achten und neuen Webseiten skeptisch entgegentreten und im Zweifel nicht anklicken.

(Red.)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.