Stagefright – Bedrohliche Android Sicherheitslücke erklärt und wie man sich dagegen schützen kann

Themen über Google und Android sind ein seltenes Gut in meinem Blog, doch dieses Thema muss ich in Eurem Sinne aufgreifen. Es wird nämlich wieder eine digitale Sau durchs mediale Dorf getrieben, und diese Sau nennt sich Stagefright. Diese Sau hat es aber in sich!

Was ist Stagefright?

Experten haben eine Sicherheitslücke entdeckt , die rund 95 Prozent aller Geräte betrifft, die auf Googles mobilem Betriebssystem basieren.

Allein in Deutschland laufen 75 Prozent der verkauften Smartphones mit Android. Den Rest teilen sich iOS und Windows untereinander auf. Zur Veranschaulichung habe ich hier folgende interaktive Grafik vom internationalen Marktforschungs-Spezialisten “Kantar Panel” für Euch eingebunden:

Bei einer Verbreitung von 95 Prozent dürfte es also so gut wie jeden unter Euch treffen, der ein Android-basiertes Smartphone sein Eigen nennt. Weltweit sind das nach Schätzungen etwa 950 Millionen Geräte, die Sicherheitslücke betrifft Android-Geräte ab Version 2.2.

Anfangs hieß es, dass Angriffe nur über MMS drohen und das Android-Gerät lahm legen können. Seit gestern weiß man durch andere Sicherheitsexperten, dass auch durch speziell präparierte Apps und Webseiten die Lücke ausgenutzt werden kann. Im schlimmsten Fall können Angreifer auch Kontrolle über das Android-Gerät übernehmen, wenn die Nutzer eine entsprechend präparierte App installieren oder eine bösartige Webseite aufrufen. Dazu gesellen sich noch Verbreitungswege über E-Mails, USB, Bluetooth und NFC. Wahrscheinlich gelingt ein Angriff auch über Messaging-Apps wie WhatsApp oder Facebook Messenger.

[wc_box color=”info” text_align=”left”]

Schuld ist übrigens das namensgebende Modul “libStagefright”.

[/wc_box]

Wer sich auch nur ein wenig mit Android auskennt weiß, dass Google so gut wie keine Kontrolle über seinen Play Store hat. Meldungen über Viren-verseuchte Apps sind keine Seltenheit. Und auch Updates sind bei Android-Smartphones eher eine Ausnahme. Wer sich in diesem Fall also auf Google verlässt, ist quasi selber Schuld.

Ermöglicht wird die Ausnutzung der Lücke durch den Aufruf sogenannter mp4-Videos. Diese sind beispielsweise Standard auf YouTube und werden auch auf so ziemlich jeder Website dieser Welt verwendet. Gefährlich sind also vor allem selbst gehostete Videos, die nicht via YouTube eingebettet worden sind. Und besagte mp4-Videos kann man eben auch per MMS verschicken. Genauer seht Ihr das in folgendem (YouTube-)Video:

Ihr seht, es gibt kaum einen geeigneten Schutz gegen Stagefright. Und jetzt rächt sich auch die wirklich ausgesprochen miserable Update-Politik seitens Google. Stellt Euch vor, eine solche Lücke würde einen Windows-Rechner betreffen, und für Windows würden nie Updates erscheinen…

Was auf jeden Fall passieren wird, ist die groß angelegte Ausnutzung dieser Lücke. Da die meisten Android-Nutzer quasi schutzlos sind und die Lücke nun öffentlich kommuniziert wurde, werden viele Klein- und Groß-Kriminelle Stagefright für ihre Zwecke einsetzen.

Wie kann man sich gegen Stagefright schützen?

Zunächst einmal kann man sich weiterhin sorglos seine YouTube-Videos anschauen. Man sollte wohl davon ausgehen, dass die Videos nach dem Hochladen auf eben diesen Schadcode hin überprüft werden. Wenn Ihr seht, dass ein eingebettetes Video nicht von YouTube stammt, nehmt aber lieber Abstand und startet nicht die Wiedergabe!

Des Weiteren sollte man den automatischen MMS-Empfang in den Systemeinstellungen deaktivieren. Die Deutsche Telekom hat nach dem Bekanntwerden der Sicherheitslücke bis auf Weiteres den automatischen Empfang von Multimedia-Nachrichten (MMS) in ihrem eigenen D1-Netz abgeschaltet .

Zimperium, die ursprünglichen Entdecker von Stagefright, sowie Lookout, ein auf Sicherheits-Apps spezialisiertes Unternehmen, haben zudem Tools veröffentlicht, mit denen man prüfen kann, ob die Schwachstelle auf dem eigenen Gerät noch vorhanden ist:

Entwickler: Zimperium INC.
Preis: Kostenlos
Preis: Kostenlos

Google, Samsung und LG haben immerhin schon reagiert und Updates versprochen bzw. bereits ausgeliefert, die die Lücke schließen sollen. Des Weiteren haben Samsung und Google angekündigt, künftig einmal monatlich Sicherheitsupdates  für ihre Geräte zu veröffentlichen.

Wer Stagefright mit einem der Tools auf seinem Gerät ausfindig gemacht hat, sollte regelmäßig in den Einstellungen unter “Über das Telefon” nach Updates suchen. Je nach Modell und Hersteller kann es aber noch einige Zeit dauern, bis der entsprechende Fix – wenn überhaupt – verfügbar sein wird.

In diesem Sinne: Viel Glück!

Und vielleicht solltet Ihr in Zukunft mal ein Auge auf ein iPhone oder gar Windows 10 Mobile werfen. Diese beiden Systeme werden nämlich anstandslos aktuell gehalten und bleiben von solch gearteten Problemen weitestgehend verschont.

Kleiner Pro-Tipp, wenn das iPhone zu teuer ist: Es sind schon jetzt viele preiswerte Windows Phone-Geräte am Markt, die die meisten (App-)Bedürfnisse der Durchschnittsnutzer abdecken und auch ein kostenloses Update auf das neue Windows 10 Mobile erhalten sollen. Ich weiß, dass ein Großteil der Android-Verkäufe darauf zurückzuführen sind, dass es eben diese Geräte in allen Preisklassen gibt und sie überall angeboten bzw. angepriesen werden. Dabei braucht der Durchschnittsnutzer aber gar nicht die vielen Möglichkeiten, die Android bietet. Die Wenigsten werden ihr Gerät rooten, Custom-ROMs aufspielen oder mit Superuser-Rechten hantieren.