Stagefright: Android Sicherheitslücke gefährdet 950 Millionen Geräte

Eine gerade bekannt gewordene Sicherheitslücke könnte für bis zu 950 Millionen Android Geräte gefährlich werden – beinahe 95% der Android Handys brauchen ein Update – aber das ist für Android-Geräte oft gar nicht mehr verfügbar. Sicherheitsforscher Joshua Drake, der die Sicherheitslücke entdeckt hatte, nannte sie „Die Mutter aller Android-Schwachstellen“. Per MMS sollen sich Angreifer Zugriff auf ein Android Handy verschaffen können – und das ganz ohne Hilfe des Besitzers, der gegen die Lücke machtlos ist.

Schuld sei Stagefright, eine Multimedia-Schnittstelle für das Android System – sie wird schon aktiv, selbst wenn die Nachricht nicht gelesen oder angeklickt wird: Es soll ausreichen, dass das Handy die eingehende MMS oder eine Hangout Nachricht verarbeite. Insgesamt hat der Sicherheitsexperte sechs Sicherheitslücken gefunden, über die die Geräte angegriffen werden können. Stagefright sorgt eigentlich dafür, dass alle Android-Apps eine einfache Möglichkeit haben, um Multimedia-Inhalte wie Musik, Töne oder Videos abzuspielen. Durch die Sicherheitslücke sollen alle Geräte seit Implementierung von Stagefright betroffen sein – und das scheint jedes Android-Gerät seit der Version 2.2 zu sein.

Die jetzt bekannt gewordene Sicherheitslücke ist aber ebenfalls nicht neu: Drake hatte sie bereits im April an Google gemeldet, die entsprechende Sicherheits-Patches existieren bereits: Laut dem Forbes Magazin hat Google die entsprechenden Updates an die Hersteller der Android-Geräte weitergegeben. Ob diese die Updates dann an die Kunden weitergeben, ist oft ungewiss – gerade die älteren und günstigeren Einsteigergeräte werden von vielen Anbietern nur noch sehr lieblos mit neuen Versionen des Android-Betriebssystems oder wichtigen Updates versorgt. Google selbst geht mit gutem Beispiel voran: Einige der gefundenen Probleme sind auf dem Google eigenen Nexus Smartphone mit der neuesten Firmware bereits behoben, so Drake. Alle anderen Nutzer sollen in der nächsten Woche mit einem Patch versorgt werden. Laut Forbes hat auch HTC bereits begonnen, erste Sicherheitsupdates auszuliefern.

Wird die Sicherheeitslücke ausgenutzt, können Angreifer beliebigen Schadcode auf dem Handy installieren. So lassen sich zum Beispiel alle Daten auf dem Handy auslesen oder die Tastatur-Eingaben wie Nutzernamen und Passwörter speichern – man soll das Handy aber auch zum Aufnehmen von Ton- und Videoaufnahmen nutzen können: Mit der Sicherheitslücke könnten Angreifer so unbemerkt Zugriff auf 950 Millionen heimlicher ÜBerwachungskameras.