Sophos erläutert, was Anwender jetzt wissen sollten
Stagefright-Lücke in Android: Was tun?
Jüngst haben Sicherheitsforscher von Zimperium eine Reihe von Lücken in Googles Mobilgeräte-Betriebssystem Android entdeckt. Im Zusammenspiel erlaubt es das "Stagefright" genannte Bündel von Schwachstellen, Android-Devices zu kapern. Experten der Sophos Labs erläutern, wie Endanwender reagieren sollten.
Stagefright nutzt eine Lücke im Multimedia Messaging System (MMS). MMS kann im Gegensatz zu SMS mehr als 160 Zeichen sowie Bilder übertragen. Ursprünglich war MMS so gedacht, dass der Anwender im ersten Schritt nur den Text sieht und erst nach manueller Anforderung die Anhänge geladen werden. Aber die SMS/MMS Apps in Android 4.4 und 5.x, warnt Sophos, sind per Default so konfiguriert, dass sie alle MMS-Inhalte, damit also auch die Anhänge, automatisch im Hintergrund laden. Dies bildet dann das Einfallstor für Malware.
Der Bug, den Zimperium gefunden hat, erlaubt hier auch das Laden von Shellcode, der als harmlose Multimedia-Daten getarnt ist. Damit können Angreifer beispielsweise die Kontrolle über das Android-Gerät übernehmen, sobald die MMS geladen ist. Zimperium geht davon aus, dass weltweit rund 950 Millionen Endgeräte gefährdet sind.
Die Sophos-Experten raten deshalb zu folgenden Vorgehensmöglichkeiten:
1. Beim Hersteller des Mobilgeräts nach einem Patch fragen. Sollte noch kein Patch zur Verfügung stehen, nachfragen, wann dieser kommen wird.
2. Wenn es die Messaging-App ermöglicht, sollte man den automatischen Download von MMS-Nachrichten ausschalten.
3. Falls es das Mobilgerät erlaubt, sollten Nachrichten von unbekannten Absendern automatisch blockiert werden.
4. Wenn die SMS/MMS-App es nicht erlaubt, den automatischen Empfang von Nachrichten abzuschalten, sollte man stattdessen das Android Messaging nutzen, das diese Einstellung bietet.
Insbesondere der erste von Sophos genannte Punkt verdeutlicht das grundlegende Dilemma von Android: Da es sich bei Googles OS – anders als bei Apple IOS – um ein offenes Betriebssystem handelt, sind zahllose Varianten im Umlauf, abhängig von Gerätehersteller, Gerätemodell und Carrier. Diese Anbieter patchen ihre OS-Varianten allerdings sehr zögerlich – und insbesondere bei Consumer-Geräten oft gar nicht.
Den Android-Nutzer, die auf Sicherheit Wert legen, bleibt damit nur Googles hauseigenes Gerät Nexus mit nativem Android (von dem allerdings nicht sicher ist, wie lange Google diese Geräte weiter vertreiben will) oder die Security-orientierte Android-Variante Cyanogenmod, die sich allerdings eher an Geeks richtet.
Bei IT-Verantwortlichen in den Unternehmen hingegen dürfte sich angesichts solcher Meldungen der Eindruck verstärken, dass – einmal abgesehen von den altbewährten Blackberry-Endgeräten – Apples Iphone und Ipad nach wie vor die einzigen Consumer-Devices sind, die sich für den Unternehmenseinsatz eignen – auch wenn Apples Security-Vorgehen häufig genug ebenfalls Anlass zur Kritik liefert. Es bleibt abzuwarten, inwieweit Microsoft mit Windows-10-Devices in diese Lücke vorstoßen kann.
Die Sophos-Informationen finden sich unter nakedsecurity.sophos.com/2015/07/28/the-stagefright-hole-in-android-what-you-need-to-know/
Experiment: Persönliche E-Mails, Online-Banking- und Social-Networking-Daten sind gefährdet
Cirosec: Incident Response rückt in den Fokus
Arbor Networks: Per Fragebogen Fähigkeit der Angriffsabwehr einschätzen
RSA: Das Security-Mittelalter überwinden
Lesen Sie mehr zum Thema
