28.07.2015, 10:02 Uhr
95 Prozent aller Android-Smartphones sollen via MMS hackbar sein
Es könnte die grösste Gefahr sein, der sich Android-Nutzer bisher gegenübersahen: Ein Sicherheitsforscher behauptet, via MMS könne praktisch jedes Gerät in eine Wanze verwandelt werden. Google hat die Lücke bestätigt, die Handy-Hersteller sind in der Pflicht.
Eine Reihe von Lücken im Stagefright Media Framework soll es theoretisch möglich machen, unbemerkt auf Android-Geräte zuzugreifen und deren Nutzer auszuspionieren. Das behauptet der Sicherheitsforscher Joshua Drake, Vizepräsident bei Zimperium zLabs, in einem Blogeintrag. Der Angreifer soll lediglich eine manipulierte MMS schicken müssen und erhalte so Zugriff auf das Gerät. Ist Googles eigene Hangout-App als SMS/MMS-Standardanwendung definiert, müsse die MMS nicht einmal betrachtet werden, da hier die Bilder vom Media Framework automatisch verarbeitet und indiziert werden. Gemäss Drake soll der Schadcode die Nachricht im Anschluss löschen können, wodurch sie vom Opfer unter Umständen nicht einmal gesehen wird. Ist das Bild auf dem Smartphone, soll es die Kameras und das Mikrofon aktivieren und auf Fotos zugreifen können, sagt Drake. Und wenn Stagefright auf dem Smartphone mit Systemrechten laufe, habe der Angreifer praktisch unbegrenzte Möglichkeiten. Dies sei beispielsweise beim Galaxy S4 der Fall.
950 Millionen Geräte betroffen?
Betroffen sind angeblich fast alle Geräte, auf denen eine Android-Version von 2.2 bis 5.1 läuft. Rund 950 Millionen Geräte sollen es sein, berichtet das Magazin Forbes. Einschränkungen gebe es nur bei neueren Geräten, die teilweise die Lücken ? Drake hat sieben Stück ausgemacht ? bereits geschlossen haben. Auch bei Versionen ab Android 4.1 (Jelly Bean) sollen die Exploits deutlich schwieriger durchzuführen sein, Google schätzt die Gefahren der Bugs für diese Geräte nicht als «kritisch», sondern «hoch» ein. Aber auch von Android-Geräten, die mit älteren Versionen als 4.1 bestückt sind, soll es rund 100 Millionen Stück geben, schreibt «Forbes». Joshua Drake hat Google die Lücken im Mai gemeldet, das Unternehmen hat sie bestätigt und den Hardware-Herstellern Patches ausgeliefert. Wann diese aufgespielt werden, ist aber unklar. Gegenüber «Forbes» sagte HTC, dass man im Juli ein Update ausliefern werde. Google selbst will ein Nexus-Update nächste Woche durchführen. Die anderen Hersteller haben sich noch nicht zu Wort gemeldet. Nächste Woche wird sich auch Drake nochmals zu Wort melden. Er hat angekündigt, an der Black-Hat-Konferenz näher auf die Sicherheitsproblematik unter Android einzugehen.