Joshua Drake vom Sicherheitsexperten Zimperium hat eine gefährliche Sicherheitslücke in der Stagefright-Engine des Android-Medienplayers entdeckt. Ein Empfang einer MMS genügt laut seinen Untersuchungen, um ein Android-Gerät komplett unter die eigenen Kontrolle zu bringen.
Bereits im April 2015 entdeckte Joshua die Lücke und meldete sie an Google. Doch bis alle Hersteller entsprechende Patches installiert haben, dürfte es noch Monate dauern. Selbst Google hat die Lücke noch nicht überall geschlossen, sodass Sie in Android 5.1 immer noch vorhanden ist. Auch in Android M ist der Bug noch vorhanden, wie Joshua uns per Twitter bestätigte. Bis zum Release von Android M soll sie aber behoben sein.
Wie kann so etwas passieren?
Das mit Android 2.2 eingeführte Media-Framework von Android (Android 2.1 und älter sind von der Lücke nicht betroffen) bringt zwar von Haus aus Standard-Codecs mit, erlaubt aber auch die Implementierung eigener Codecs. Zimperium hat in der Stagefright-Komponente gleich mehrere kritische Bugs entdeckt, einige davon erlauben per MMS auch das Ausführen von Schadcode. Joshua hat diverse Android-Versionen und MMS-Apps getestet und dabei herausgefunden, dass Google Hangouts den Schadecode ausführt, bevor der Nutzer überhaupt über den Eingang der MMS informiert wird. Wer noch in Vor-Hangouts-Zeiten lebt und den alten „Messenger“ von Google als MMS/SMS-App benutzt, hat es etwas besser, hier wird der Schadecode erst dann ausgeführt, wenn du einen Blick in die MMS wirfst. Die Nachricht selbst zu öffnen, ist aber in den wenigsten Fällen notwendig.
Joshua wird die Lücke und den Exploit auf der BlackHat 2015 Konferenz demonstrieren, die vom 1. bis 6. August in Las Vegas stattfindet. Auch auf der Defcon in Paris wird Joshua seinen Vortrag halten.
Wie kann ich mich schützen?
Im Quellcode von Android (AOSP) ist der Bug bereits behoben. Wer also auf der ganz sicheren Seite sein will, holt sich die neueste Version einer Custom-ROM mit aktuellem Quellcode. Ebenfalls bereits gefixt ist der Bug auf den Blackphones von Silent Circle. Dich selbst schützen kannst du, indem du dem MMS-Empfang verhinderst. Dazu wechselst du in die Android-Einstellungen zum Eintrag Mobilfunknetze | Zugangspunkte. Hier gibt es üblicherweise einen separaten Zugangspunkt für MMS. Wähle diesen aus und lösche diesen über das Kontextmenü. Wenn sich der Eintrag nicht löschen lässt, schaltest du den MMS-Empfang und -Versand am besten gleich über den Provider ab.
Damit hast du aber nur eine von mehreren potentiellen Lücken geschlossen! Denn laut Joshua ist ein System selbst dann vermutlich verwundbar, wenn sich auf dem System keine MMS-App befindet, da die Stagefright-Komponente fester Bestandteil von Android ist!
Zimperium ist eine US-Sicherheitsfirma, die sich unter Android vor allem mit dem Sicherheitsframework zAnti einen Namen gemacht hat.
[Update, 28. Juli] Nexus-Update bereits in der Mache, MMS-Autodownload ausschalten
Wie wir heute via Pressemeldung von Lookout erfahren haben, kann es bereits reichen, in der Hangouts-App den automatischen Download von MMS-Nachrichten auszuschalten. Dazu öffnest du die Einstellungen, tippst auf SMS und entfernst hier die Checkbox bei Automatischer MMS-Download. Andere SMS-Apps bieten eine ähnliche Einstellungsmöglichkeit. Lookout warnt zudem davor, dass sich die Stagefright-Lücke ziemlich sicher auch durch präparierte Webseiten mit Multimedia-Inhalten ausnutzen lässt.
Ebenfalls ein Update kommt von Androidpolice.com. Demnach soll Google für die Nexus-Geräte ab nächster Woche ein Update mit entsprechenden Patches ausliefern. Laut Google wird die Sicherheitslücke noch nicht aktiv ausgenutzt, das könnte sich aber schlagartig ändern, wenn die Schwachstelle von ZImperium nächste Woche publik gemacht wird.
Quelle und Aufmacherbild: Zimperium via Forbes und reddit.com