Ende Juni hat die Sicherheitsfirma Zimperium Labs eine schwerwiegende Android-Schwachstelle namens «Stagefright» angekündigt und am Mittwoch an der Hackerkonferenz Black Hat in Las Vegas publik gemacht. Alles nur heisse Luft? Könnte man meinen, wenn die Meldung von einer Sicherheitsfirma stammt, die schlussendlich auch auf Umsatz mit Security-Lösungen bedacht ist. Was Sie alles über die gegenwärtige Bedrohung wissen müssen, und wie Sie sich davor schützen, haben wir Ihnen in diesem Beitrag zusammengefasst.

Das Stagefright-Framework wird von Android und in Apps zum Abspielen von Multimediadateien genutzt. Da diese Schnittstelle vielerorts zum Einsatz kommt, kann Schad-Software auch über zahlreiche Wege ausgenutzt werden: etwa durch WhatsApp-Nachrichten oder über NFC. Die Gefahr lauert generell in 3GPP-oder MP4-Dateien. Der gefährlichste Angriffsvektor soll MMS darstellen, weil z.B. Google Hangouts eine solche Nachricht automatisch herunterlädt. Laut Zimperium läuft der MMS-Client auf jedem zweiten Smartphone mit Systemrechten. Landet eine solche Multimediadatei auf dem Smartphone, soll es die Kameras und das Mikrofon aktivieren und auf Fotos zugreifen können, sagen die Sicherheitsforscher.

Google hat die Sicherheitslücke bestätigt und stuft die Gefahr als hoch ein, relativiert aber gleichzeitig, dass ab Android 4.0 die Schutzfunktion Address Space Layout Randomization (ASLR) eingebaut wurde, die das Ausnutzen der Sicherheitslücke durch Speicherüberläufe zusätzlich erschwert. Somit ist das Risiko für diese Nutzerschicht etwas geringer, einem gezielten Angriff zum Opfer zu fallen. Ein Malware-Befall ist damit aber theoretisch immer noch möglich. Forbes berichtet von einer russischen Firma, die schon Anleitungen an Hacker verkaufen soll. Es lohnt sich daher dennoch, das Sicherheitsrisiko laufend zu beobachten.

Google plant, ab sofort jeden Monat ein Update zu verteilen, allerdings primär für die Google-Geräte (Nexus 4, 5, 6, 7, 9, 10). An der Black-Hat-Konferenz hat Adrian Ludwig jedoch angekündigt, das Update an die Gerätehersteller weiterzuleiten. Zu diesen gehören in erster Linie Samsung, Motorola, HTC, LG und Sony. Ein grundlegendes Problem der Android-Fragmentierung: Die herstellerseitigen Zertifizierungen und Freigaben einer neuen Firmware kann Monate dauern.

Samsung verspricht, in Zukunft schneller auf Sicherheitsbedrohungen zu reagieren und will ebenfalls monatliche Updates auf seine Geräte verteilen. LG will kündigt einen monatlichen «Patch Day» an. Es bleibt aber noch ungewiss, wie lange eine Update-Auslieferung bei den jeweiligen Herstellern dauern kann, zumal auch mit den Mobilfunk-Providern auf die eine oder andere Art verhandelt wird. HTC wird das One M7, M8 und M9 aktualisieren. Samsung liefert für die wichtigsten Galaxy-Geräte wie Galaxy S6, S6 Edge, S5, Note 4 und Note 4 Edge ein Update nach. Sony flickt das Xperia Z2, Z3, Z4 und das Z3 Compact. Bei LG werden mit Sicherheit das G2, G3 und G4 «irgendwann» ein Update erhalten.

Der gefährlichste Stagefright-Angriff lauert gegenwärtig in der MMS, weil eine solche unter Umständen automatisch geöffnet wird. Swisscom und Sunrise verhandeln derweil mit Geräteherstellern, während die Deutsche Telekom zurzeit MMS-Dienste sogar abschaltet. Wir raten daher zum Abschalten des automatischen MMS-Downloads. Bei MP4/3GPP-Dateien (zum Beispiel in WhatsApps oder E-Mail-Anhängen) ist zurzeit Zurückhaltung angesagt. Zimperium Labs hat inzwischen einen «Detektor» herausgebracht, mit dem sich das Android-Smartphone auf Stagefright-Verwundbarkeit testen lässt. Die App schützt allerdings nicht vor Angriffen, sondern gibt nur Aufschluss über den gegenwärtigen Sicherheitsstatus.