Die größte bislang entdeckte Sicherheitslücke? – Eine Schwäche in der Medienbibliothek von Android macht Angriffe auf Smartphones erschreckend einfach.
Auch interessant: Sicherheitsprobleme im Play Store: Hacker-Team umgeht Googles Sicherheitsmechanismen
Die Sicherheitsfirma Zimperium hat im Betriebssystem Android eine Sicherheitslücke entdeckt, die 95 Prozent aller Android-Geräte betrifft.
Um diese Sicherheitslücke für einen Angriff auszunutzen, benötigen Cyber-Kriminelle lediglich die Telefonnummer des Smartphones. An diese Nummer schicken sie dann eine spezielle angefertigte Bild- oder Videodatei. Schon allein das Empfangen dieser Datei erlaubt es dem Angreifer, Programm-Code auf dem Smartphone auszuführen.
Anders als bei Phishing-Angriffsmethoden ist es hierbei also nicht nötig, dass du beispielsweise einen Verweis antippst oder eine PDF-Datei öffnest. Stattdessen kann der Angriff vollkommen ohne Reaktionen von dir stattfinden – beispielsweise während du schläfst. Dem Angreifer ist es zudem möglich, die empfangene Nachricht wieder zu löschen, so dass du wenig Chancen hast, überhaupt etwas von dem Angriff mitzubekommen. (Abgesehen von der Benachrichtigung, die zu sehen sein sollte, auch wenn die Nachricht gelöscht wurde.) Soweit es der Firma Zimperium bekannt ist, wurde diese Sicherheitslücke bislang noch nicht ausgenutzt.
Die Sicherheitslücke befindet sich in der Medienbibliothek Stagefright, die für das Verarbeiten von Multimediadateien zuständig ist. Betroffen von der Lücke sind alle Android-Versionen ab der Nummer 2.2.
Der Entdecker der Sicherheitslücke, Joshua J. Drake, wird seine Forschungen im August auf den Veranstaltungen Black Hat USA und Def Con 23 vorstellen.
Zimperium hat bereits am 9. April Google auf diese Sicherheitslücke aufmerksam gemacht – und auch gleich Patches für die Lücke zur Verfügung gestellt. Google reagierte prompt und fügte diese Patches innerhalb von 48 Stunden dem Betriebssystem hinzu. Was für die Anwender allerdings nur ein geringer Trost ist. Denn sie sind darauf angewiesen, dass die Hersteller ihres jeweiligen Smartphones die Fehlerbehebung im Rahmen eines Firmware-Updates veröffentlichen. Das dauert traditionellerweise lange. Und ältere Smartphones erhalten in der Regel keine Updates mehr.
Immerhin hat Google laut CNNMoney die korrigierte Version des Betriebssystems bereits den Hardware-Herstellern zur Verfügung gestellt. Darüber hinaus weist Google darauf hin, dass das Betriebssystem Android verschiedene Methoden einsetzt, die Hackern den Zugriff auf Apps und Telefonfunktion beschränken.
Wer sich gegen den Angriff schützen will und Google Hangouts als Standard-App für SMS-Nachrichten festgelegt hat, der muss einfach nur die Standard-App für Multimedia-Nachrichten umstellen. Hier bietet sich die Standard-App des Herstellers an. Alternativ kann man auch das automatische Herunterladen von Multimedia-Inhalten in der App deaktivieren.