Debakel – Android-Smartphones per MMS abhörbar

Debakel – Android-Smartphones per MMS abhörbar

Immer wieder finden Sicherheitsexperten Lücken im Android-System. Nun hat der Spezialist Joshua Drake von Zimperium zLabs in einem Interview ein Problem erklärt, das 95 Prozent aller Android-Smartphones betrifft. Das sind weltweit rund 950 Millionen Geräte. Diese können unbemerkt zur Wanze umfunktioniert werden. Das perfide der Lücke: Der Nutzer muss noch nicht einmal aktiv sein. Hacker können einfach eine infizierte MMS an ein Gerät senden. Sobald diese automatisch aus dem Mobilfunknetz heruntergeladen wird, ist das Smartphone abhörbar. Selbst die MMS lässt sich danach von außen löschen, sodass der Nutzer den Handy Virus nicht einmal bemerken kann.

Ursache ist ein Bug in Stagefright

Ursache dieser Lücke ist ein Programmierbug in Stagefright. Dabei handelt es sich um ein Programm, mit dem Audio- und Videodateien abgespielt werden. Dieses ist seit Android 2.2 ein fester Teil des Betriebssystems und somit bis in die aktuellste Android-Version 5.1 vorhanden. Genau das ist das Problem. Denn durch die extreme Verbreitung von Stagefright könnte praktisch nahezu jedes Smartphone angegriffen werden.

Insgesamt handelt es sich um sieben Remote-Code-Execution-Bugs, mit denen Angreifer Programme ausführen können. Dabei ist nicht mehr als die Handynummer erforderlich. Sobald ein Gerät erfolgreich per MMS kontaktiert ist, können die Angreifer dieses übernehmen und dabei Mikrofon und Kamera nutzen sowie nach Mediadateien suchen. Je nach Rechtevergabe ist es möglich, weitere Aktionen auszuführen. Der Angriff funktioniert aber nicht nur per MMS, sondern auch per Hangouts, wie diese bei der Social-Media-Plattform Google+ beliebt sind.

Hersteller müssen handeln

Joshua Drake hat angekündigt, die Sicherheitslücken in Kürze öffentlich zu machen. Das scheint erforderlich, denn bisher halten weder Google noch die Hersteller der Smartphones ein umfassendes Update zur Verfügung gestellt, das die Gefahr beseitigt. Lediglich für das Google-eigene Nexus sowie das Sicherheits-Smartphone Blackphone sollen bisher erste Updates eingespielt sein. Die Entwickler von CyanogenMod, einem Android-Ableger, haben derweil die Lücke bereits behoben. In diesem Zusammenhang wurde deutlich, dass ein Speicherfehler die Lücken in das System reißt.

So können Android-Nutzer vorbeugen

Für Android-Nutzer gibt es leider bis zu einem vollständigen Sicherheitsupdate keine Möglichkeit, Angriffe abzuwehren. Sie können aber die Hürde deutlich anheben. Dazu ist eine Änderung der Einstellungen erforderlich. Unter Nachrichten und MMS sollten sie vorerst das automatische Abrufen deaktivieren und bei den Beschränkungen die Einstellung auf „eingeschränkt„ stellen.

Update 07.08.2015 – Telekom schränkt MMS Dienst ein

Aufgrund der schwerwiegenden MMS Sicherheitslücke hat die Telekom nun den MMS Empfang von automatischen auf einen manuellen Download umgestellt. Damit werden infizierte MMS nicht mehr automatisch auf das Handy heruntergeladen. Kunden erhalten bei Erhalt einer MMS eine SMS mit dem Hinweis „Sie haben eine neue MMS erhalten„. Darin enthalten ist ein Link mit Passcode, über den dann die MMS geladen werden kann. Das schützt aber die Kunden nur unvollständig. Denn auch über diesen Link kann das Smartphone infiziert werden.
Die Smartphone Hersteller reagieren bisher eher verhalten, nur wenige stellen ein Firmware-Update bereit, das die Stagefright-Lücke schließen kann.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Zahlungsaufforderung per SMS – Urteil: Forderungen können zulässig sein

Zahlungsaufforderung per SMS

Urteil: Forderungen können zulässig sein

Nicht jede Zahlungsaufforderung per SMS ist Spam. Das OLG Hamm hat entschieden, dass Mahnungen per SMS zulässig sein können. Dies ist dann der Fall, wenn die Forderung berechtigt ist und die Nachricht tagsüber beim Empfänger eingeht. Geklagt hatte der vzbv gegen ein Inkassounternehmen. […]

Die Brille der Zukunft - Weit mehr als nur eine Sehhilfe?

Die Brille der Zukunft

Weit mehr als nur eine Sehhilfe?

Zu vielen Zukunftsvisionen gehören auch Brillen. Was bislang nur eine praktische Sehhilfe oder ein modisches Accessoire darstellt, könnte schon bald ebenfalls mit einigen technischen Gadgets aufwarten. […]

Privater Investor schlägt zu – FRITZ!Box-Hersteller AVM ist verkauft

Privater Investor schlägt zu

FRITZ!Box-Hersteller AVM ist verkauft

Das bekannte Berliner Tech-Unternehmen AVM hat offiziell einen neuen Investor. Durch den Einstieg des europäischen Family Office Imker Capital Partners soll auch in Zukunft der Erfolg des Unternehmens gesichert werden. Die Gründer ziehen sich jedoch nicht vollständig aus der Firma zurück. […]

Trotz Legitimierungspflicht – illegale Anonymisierung von SIM-Karten

Trotz Legitimierungspflicht

Illegale Anonymisierung von SIM-Karten

Obwohl es seit Jahren die Pflicht zur Legitimierung bei Prepaid-Karten gibt, reichen die Sicherheitsvorkehrungen einiger Anbieter, um Missbrauch zu verhindern, nicht aus. Insbesondere ein Anbieter sticht laut Bundesnetzagentur negativ hervor. […]