"Schlimmste Lücke die je bekannt wurde" 95 Prozent aller Android-Smartphones von Sicherheitslücke betroffen
Düsseldorf · Mit einer Multimedia-SMS ein Handy knacken? Das soll bei 95 Prozent aller Android-Smartphones möglich sein. Sicherheitsexperten sprechen von der schlimmsten Sicherheitslücke, die rund um das mobile Betriebssystem Android je bekannt wurde.
Das ist die neue Android-Version Lollipop
Sicherheitslücken gehören inzwischen auch in der mobilen Welt zum Alltag. Normalerweise sind sie erst dann gefährlich, wenn sie durch die Interaktion des Nutzers ausgelöst werden. Durch das Öffnen einer Datei oder durch das Klicken auf einen Link. Bei dieser Sicherheitslücke ist das anders: Der Empfang einer MMS, also eine Multimedia-SMS, reicht schon aus.
Betrugs-MMS löscht sich von selbst
Der Angreifer kann an eine beliebige Telefonnummer die manipulierte MMS schicken. Wenn sich hinter der Nummer ein Android-Smartphone befindet, dann ist die Chance sehr hoch, dass der Angreifer Zugriff auf das komplette System und somit auch auf die privaten Daten erhält.
95 Prozent Prozent der Android-Smartphones sollen betroffen sein. Perfide dabei: Einige Nutzer merken nicht einmal, dass sie eine Betrugs-MMS erhalten haben, da sie sich direkt von selbst löscht.
Diese Sicherheitslücke ist vom Sicherheitsforscher Joshua Drake von Zimperium, ein Unternehmen, welches sich mit mobiler Sicherheit beschäftigt, entdeckt und dokumentiert worden. Laut Drake sind alle Android-Smartphones betroffen, die das Betriebssystem Android 2.2 oder neuer benutzen. Diese Version ist im Mai 2010 erschienen. Derzeit gilt die Version 5.1.1. als die aktuelle stabile Version.
"Mutter aller Android-Schwachstellen"
Bezeichnet wird diese Sicherheitslücke als Stagefright. So heißt das Multimedia-Tool innerhalb von Android, welches für die Lücke verantwortlich ist. Drake bezeichnet diese Lücke als die "Mutter aller Android-Schwachstellen".
Die Nutzer stehen dieser Sicherheitslücke derzeit noch hilflos gegenüber: Theoretisch kann man den MMS-Empfang für sein Smartphone deaktivieren, aber da muss man ganz tief in die Einstellungen seines Smartphones einsteigen.
Hersteller müssen Sicherheits-Update erst noch umsetzen
Google hat ein Update zum Schließen der Sicherheitslücke für Android zwar vorbereitet, allerdings muss jeder Hersteller den Fix erst einmal für die eigenen Modelle umsetzen und ausspielen. Samsung, HTC & Co. haben ein ganz unterschiedliches Tempo, was das Bereitstellen von Updates angeht. Das kann Wochen oder Monate dauern.
Die Hersteller sollten sich aber beeilen: Im Herbst will Sicherheitsforscher Drake diese Sicherheitslücke auf der Hacker-Konferenz The Black Hat genau vorstellen und demonstrieren. Mit dem Wissen haben es Betrüger leichter, die Schwachstelle auszunutzen.
Englische Lesetipps zu diesem Thema
- In diesem Blog-Posting hat Joshua Drake die Stagefright-Lücke vorgestellt
- Forbes hat einige Smartphone-Hersteller mit der Sicherheitslücke konfrontiert und ihre ernüchternden Reaktionen dokumentiert
