Wie gefährlich ist Stagefright wirklich?

Ende Juni hat die Sicherheitsfirma Zimperium Labs eine schwerwiegende Android-Schwachstelle namens «Stagefright» angekündigt und am Mittwoch an der Hackerkonferenz «Black Hat» in Las Vegas publik gemacht. Alles nur heisse Luft? Könnte man meinen, wenn die Meldung von einer Sicherheitsfirma stammt, die schlussendlich auch auf Umsatz mit Security-Lösungen bedacht ist. Was Sie alles über die gegenwärtige Bedrohung wissen müssen, und wie Sie sich davor schützen, haben wir in diesem Beitrag zusammengefasst.

Das «Stagefright»-Framework wird von Android und in Apps zum Abspielen von Multimediadateien genutzt. Da diese Schnittstelle vielerorts zum Einsatz kommt, kann Schad-Software auch über zahlreiche Wege ausgenutzt werden: etwa durch «WhatsApp»-Nachrichten oder über «NFC». Die Gefahr lauert generell in «3GPP»-oder «MP4»-Dateien. Der gefährlichste Angriffsvektor soll «MMS» darstellen, weil beispielsweise «Google Hangouts» eine solche Nachricht automatisch herunterlädt. Laut Zimperium läuft der «MMS»-Client auf jedem zweiten Smartphone mit Systemrechten. Landet eine solche Multimediadatei auf dem Smartphone, soll es die Kameras und das Mikrofon aktivieren und auf Fotos zugreifen können, sagen die Sicherheitsforscher.

Google hat die Sicherheitslücke bestätigt und stuft die Gefahr als hoch ein, relativiert aber gleichzeitig, dass ab «Android 4.0» die Schutzfunktion «Address Space Layout Randomization» (ASLR) eingebaut wurde, die das Ausnutzen der Sicherheitslücke durch Speicherüberläufe zusätzlich erschwert. Somit ist das Risiko für diese Nutzerschicht etwas geringer, einem gezielten Angriff zum Opfer zu fallen. Ein «Malware»-Befall ist damit aber theoretisch immer noch möglich. «Forbes» berichtet von einer russischen Firma, die schon Anleitungen an Hacker verkaufen soll. Es lohnt sich daher dennoch, das Sicherheitsrisiko laufend zu beobachten. Lesen Sie auf der nächsten Seite: «Google, Samsung und weitere Hersteller planen Updates»

Google plant, ab sofort jeden Monat ein Update zu verteilen, allerdings primär für die Google-Geräte (Nexus 4, 5, 6, 7, 9, 10). An der Black-Hat-Konferenz hat Adrian Ludwig jedoch angekündigt, das Update an die Gerätehersteller weiterzuleiten. Zu diesen gehören in erster Linie Samsung, Motorola, HTC, LG und Sony. Ein grundlegendes Problem der Android-Fragmentierung: Die herstellerseitigen Zertifizierungen und Freigaben einer neuen Firmware kann Monate dauern.

Samsung verspricht, in Zukunft schneller auf Sicherheitsbedrohungen zu reagieren und will ebenfalls monatliche Updates auf seine Geräte verteilen. LG will kündigt einen monatlichen «Patch Day» an. Es bleibt aber noch ungewiss, wie lange eine Update-Auslieferung bei den jeweiligen Herstellern dauern kann, zumal auch mit den Mobilfunk-Providern auf die eine oder andere Art verhandelt wird. HTC wird das «One M7», «M8» und «M9» aktualisieren. Samsung liefert für die wichtigsten «Galaxy»-Geräte wie «Galaxy S6», «S6 Edge», «S5», «Note 4» und «Note 4 Edge» ein Update nach. Sony flickt das «Xperia Z2», «Z3», «Z4» und das «Z3 Compact». Bei LG werden mit Sicherheit das «G2», «G3» und «G4» «irgendwann» ein Update erhalten.

Der gefährlichste Stagefright-Angriff lauert gegenwärtig in der «MMS», weil eine solche unter Umständen automatisch geöffnet wird. Sunrise und Swisscom verhandeln derweil mit Geräteherstellern, während die Deutsche Telekom zurzeit MMS-Dienste sogar abschaltet. «PCtipp rtdaher zum Abschalten des automatischen MMS-Downloads. Bei «MP4»/«3GPP»-Dateien (zum Beispiel in «WhatsApps» oder E-Mail-Anhängen) ist zurzeit Zurückhaltung angesagt. Zimperium Labs hat inzwischen einen «Detektor» herausgebracht, mit dem sich das Android-Smartphone auf «Stagefright»-Verwundbarkeit testen lässt. Die App schützt allerdings nicht vor Angriffen, sondern gibt nur Aufschluss über den gegenwärtigen Sicherheitsstatus.