quelle: digitalfernsehen.de

In den meisten Fällen fanden die Sicherheitslücken bei Android keine große Verbreitung oder erforderten überhaupt ein Zutun des Nutzers. Beim neuesten Fall kann der Angreifer allerdings komplett ohne Zutun des Nutzers die volle Kontrolle über das Smartphone übernehmen - und das auch ohne dass der Nutzer es bemerkt. Betroffen sollen circa 950 Millionen User sein.


Das Sicherheitsunternehmen Zimperium Mobile Security hat eine schwere Lücke in Android entdeckt. Mit dem simplen Senden einer MMS ist ein Angreifer in der Lage, die volle Kontrolle über das Smartphone zu übernehmen. Dazu wird eine MMS an das Gerät des Nutzers gesendet, welche ein kurzes Video enthält. Darin befindet sich der Schadcode, der automatisch und völlig ohne Zutun des Users ausgeführt wird. Das bedeutet, im schlimmsten Falle merkt der Nutzer nicht einmal, dass sein Gerät infiltriert worden ist.

Schuld daran ist Androids Art, eingehende Nachrichten zu behandeln. Das Betriebssystem liest eingebettete Videos automatisch aus und stellt sie anschließend in der Galerie bereit - und dabei passiert es. Durch den fehlerhaften Code im Video wird diese Funktion entführt und ermöglicht dem Schadcode vollen Zugriff, auch auf Funktionen wie Kamera oder Mikrofon - und das alles ohne Abfrage von Berechtigungen.

Noch ehe das Smartphone den Nutzer über die eingehende Nachricht informieren kann, wird der Code ausgeführt. Was auch bedeutet, dass dieser die potenzielle Benachrichtigung auch deaktivieren und sich somit selbst verstecken kann, ohne dass der Nutzer überhaupt irgendetwas bemerkt.

Betroffen von dieser Lücke sind nahezu alle Android-Versionen, die älter als Android 4.1 sind - also immerhin elf Prozent aller sich im Umlauf befindenden Geräte. Lediglich Android 4.1 Jelly Bean verfügt über Maßnahmen, die einen Exploit von Sicherheitslücken erschweren. Zwar hat Google bereits einen Patch herausgegeben und an die Gerätehersteller verschickt, allerdings ist fraglich, ob die Geräte den Code jemals verwerten können oder nicht.

Gerade alte Smartphones und Android-Versionen werden kaum oder gar nie mit Updates versorgt, sodass die Gefahr hier sehr groß ist, dass die Lücke nicht gestopft wird. Da es sich um eine Systemfunktion handelt, kann auch Google nichts ausrichten, da diese nicht über den Play Store oder die Play Services aktualisiert wird.

Der Schadcode oder das betreffende Video sind derzeit noch nicht bekannt. Generell gilt: Je älter das System, desto größer die Gefahr. Google muss nun darüber nachdenken, ob man nicht auch diese Systemfunktionen in die Play Services auslagert, um sie selbst aktualisieren zu können und solchen Schäden vorzubeugen.

quelle: digitalfernsehen.de

Die in der Android-Software entdeckte Sicherheitslücke könnte noch für längere Zeit geöffnet bleiben. Google hat zwar ein entsprechendes Update an die Smartphone-Hersteller verschickt, wann diese es ausrollen, ist aber unklar.


Millionen Handys mit dem Betriebssystem Android sind über mehrere Sicherheitslücken angreifbar für Hacker. Davor warnte das Bundesamt für Sicherheit in der Informationstechnik am Mittwoch. Die Lücken klaffen in der Multimedia-Schnittstelle Stagefright. Damit lasse sich über eine Multimedia-Nachricht Schadcode auf Handys platzieren, berichtete der Sicherheitsfachmann Joshua Drake. Hacker könnten so Daten stehlen, Ton und Video aufnehmen oder auf gespeicherte Fotos zugreifen.

"Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonderen präparierten Multimedia-Nachricht verschicken", schrieben die Sicherheitsforscher um Drake auf dem Blog ihrer Firma Zimperium. "Diese Lücken sind sehr gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden können." Opfer müssten ein Video aus einer MMS mit Schadcode beispielsweise nicht abspielen, sondern nur die Nachricht ansehen, berichtete Drake dem US-Magazin "Forbes".

Abhilfe gab es von vielen Herstellern zunächst nicht. Ein Virenschutzunternehmen empfahl Nutzern, den automatischen Empfang von MMS-Nachrichten auszuschalten. Dann würden die Botschaften mit dem Schadcode nicht direkt geladen.

Unter bestimmten Umständen würden Handybesitzer die manipulierte Nachricht nicht einmal bemerken: Der Schadcode könne ausgeführt werden, bevor die Benachrichtigung auf dem Display erscheint. Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind, erklärte Drake.

Hacker könnten sich von der Multimedia-Software weiter auf das Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die jeweiligen Hersteller die Multimedia-Schnittstelle abgesteckt hätten, oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen könne.

Google erklärte, die Sicherheitslücke sei "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden. "Nach unserem derzeitigen Wissensstand ist niemand davon betroffen", teilte das Unternehmen mit. Das steht im krassen Widerspruch zu Aussagen von Drake, der schätzt, dass Hunderte Millionen Geräte über die Lücke angreifbar sind.

Für die Millionen Besitzer von Android-Handys und -Tablets gibt es kein zentrales Update, das sie vor der Lücke schützen würde. Google schickte zwar ein Sicherheits-Update an die Hersteller von Android-Geräten. Doch die Handybauer können selbst entscheiden, wie sie Updates an ihre Kunden weitergeben. Einzig bei den den Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche gestopft werden. Der Hersteller HTC sagte Forbes, die Lücke solle in den künftig veröffentlichten Geräten geschlossen werden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zur erfragen".