Die sogenannte Stagefright-Sicherheitslücke in Androidbetriebssystemen dürfte eine der kritischsten Lücken sein und betrifft etwas 1 Milliarde Geräte. Betroffen sind die Android Versionen 2.2 bis zur Version 5.1.1. Betroffen davon sind allerdings nicht nur Handys und Smartphone mit Android sondern auch Tablets, die Android als Betriebssystem nutzen.
Ein Angriff ist dabei relativ einfach möglich. Es reicht eine manipulierte Multimedia-Datei um einen Fehler in den Standardbibliothek zum Verarbeiten von Multimediadateien aufzurufen und einen Pufferüberlauf zu provozieren. Dann können Angreifer verschiedene Funktionen nutzen:
- Zugriff auf die Lautsprecher und Mikrofone des Gerätes so dass ein einfaches Abhören möglich ist
- Zugriff auf die (Video-)Kamera der Geräte so dass auch visuelle Aufzeichnungen möglich sind
- Zugriff auf die gespeicherten Medien in der Mediengalerie sowie die Bluetooth Schnittstelle der Geräte
Nach aktuellem Stand gibt es aber keinen Zugriff auf das System an sich um eventuelle Inhalte wie Mails oder SMS auszulesen. Es handelt sich dabei also nicht um Malware im engeren Sinne. Auch die Standort-Ortung und der Zugriff auf Bewegungsprofile ist nicht möglich. Allerdings reicht bereits die Nutzerkennung um auf anderen Wegen die Handynummer orten zu lassen – auch wenn Stagefright da keinen Zugriff erlaubt, Sicherheits gibt es trotzdem nicht.
Erste Gegenmaßnahmen: MMS deaktivieren
Falls der Anbieter noch keinen Patch zur Verfügung gestellt hat, hilft es zumindest als ersten Schritt, den automatischen Empfang von MMS zu deaktivieren und auch bei anderen Apps den automatischen Downloa abzuschalten. Das kann in Hangouts unter Automatischer MMS-Download bzw. in der App „SMS/MMS“ Automatisch abrufen durchgeführt werden. Bei Apps sollte man sich die Einstellungen genauer anschauen und falls eine Deaktivierung nicht möglich ist, die App ganz abschalten/deinstallieren.
Wer wissen möchte, ob das eigene Gerät bereits geschützt ist oder nach wie vor Anfälligkeiten für Stagefright Angriffe aufweist, kann dies mit dieser App tun. Der Entdecker der Sicherheitslücke hat hier eine kostenlose Prüfungsmöglichkeit zur Verfügung gestellt.
Die Stagefright Lücke betrifft nur Tablets mit Android Betriebssystem. iPads und Windows Phone Geräte sind nicht betroffen und müssen daher auch nicht abgesichert werden.