Fast eine Milliarde Smartphones bedroht "Die Mutter aller Android-Schwachstellen"

Android Security Hole Found By Researcher A Samsung Electronics Co. Galaxy Note Edge smartphone running the Android mobile operating system is arranged for a photograph in New York, U.S., on Tuesday, July 28, 2015. A researcher at a security firm revealed a hole in Android's source code that hackers can exploit, if they have a phone's number, with a text. Photographer: Chris Goodney/Bloomberg

(Foto: Bloomberg)

Durch eine Sicherheitslücke in Android lassen sich rund 950 Millionen Smartphones in Wanzen verwandeln. Was Sie über "Stagefright" wissen müssen - und wie Sie sich schützen können.

Von Caspar von Au und Simon Hurtz

Was ist Stagefright?

"Mutter aller Android-Schwachstellen", "Einhorn im Herzen von Android" oder ganz unbescheiden "die schwerwiegendste Sicherheitslücke in der Geschichte mobiler Betriebssysteme". Joshua Drake spart nicht mit Superlativen, wenn es um Stagefright geht. Das überrascht nicht, denn Drake hat die Sicherheitslücke entdeckt und arbeitet für die Sicherheitsfirma Zimperium, die Geld damit verdient, Software an besorgte Nutzer zu verkaufen. Je größer die Besorgnis, desto größer der Umsatz.

Doch auch wenn Firmen wie Kaspersky und Symantec gerne ein digitales Bedrohungsszenario entwerfen - die Warnungen von Drake sind mehr als heiße Luft. Stagefright ist der Name einer speziellen Multimedia-Schnittstelle in Android-Betriebssystemen, über die Angreifer das betroffene Gerät in eine Wanze verwandeln können. Sie haben dann Zugriff auf Mikrofon und Kamera und können die Inhalte der Speicherkarte auslesen.

Welche Geräte sind betroffen?

Stagefright bedroht alle Smartphones und Tablets, auf denen eine neuere Android-Version als 2.2 installiert ist. Betroffen wären damit knapp 95 Prozent aller Android-Smartphones - das sind weltweit rund 950 Millionen Geräte.

Wie können Geräte angegriffen werden?

Drake hat am Mittwoch auf der Black-Hat-Konferenz in Las Vegas elf Wege vorgestellt, über die sich ein Android-System über Stagefright angreifen lässt. Dabei werden Mediendaten untergeschoben, die schadhaften Code enthalten. Das geht zum Beispiel, in dem der Angreifer über Near Field Communication (NFC) Kontaktdaten mit dem Ziel-Smartphone austauscht oder Dateien via Bluetooth versendet. Detaillierter erklärt das Tech-Portal Golem diese sogenannten Angriffsvektoren. Die gravierendste Sicherheitslücke betrifft MMS-Nachrichten, über die Drake schon im Vorfeld der Konferenz berichtete.

Android lädt standardmäßig alle Multimedia-Inhalte gleich nach Erhalt der Nachricht ungefragt herunter. Alles, was der Angreifer also braucht, ist eine Handynummer. Er kann dann eine präparierte MMS, zum Beispiel ein Video, das er zusätzlich mit schadhaftem Code versieht, verschicken. Sobald ein Nutzer die Nachricht erhält, kann der Angreifer alle Daten stehlen, auf die Stagefright zugreifen kann. Das heißt, er kann Videos und Sprachaufnahmen machen, sich der Bluetooth-Schnittstelle und gespeicherter Fotos bemächtigen.

Die Lücke betrifft alle Nachrichten-Apps, die MMS empfangen können, etwa die auf Android-Smartphones vorinstallierte Standard-SMS-App. Besonders kritisch ist sie für Nutzer, die die Google-App Hangouts installiert haben. Die App ermöglicht es, dass der Code in der MMS im Hintergrund ausgeführt wird, ohne dass der Handybesitzer davon etwas mitbekommt. Der Angreifer könne nach der Ausführung die MMS und mit ihr den Schadcode löschen, sagt Drake. Das Smartphone könnte so unbemerkt zu einer Wanze werden.

Wie groß ist die Gefahr wirklich?

Google selbst hat das Risiko als hoch eingestuft: Drake hatte seinen Fund bereits im April an Google gemeldet, die sofort antworteten und damit begannen, Sicherheits-Updates zu programmieren. Ein Problem wird eine Sicherheitslücke aber erst, sobald es Exploits dafür gibt - wenn sie also nicht nur in der Theorie existiert, sondern aktiv ausgenutzt wird. Genau diese Exploits scheinen nun in greifbarer Nähe: Forbes zufolge soll eine russische Firma bereits entsprechende Anleitungen verkaufen, auch eine chinesische Webseite hat Details zu der Schwachstelle veröffentlicht. Es ist also möglich, dass es bald Hacker geben wird, die theoretisch in der Lage sind, von Stagefright betroffene Geräte zu übernehmen.

Allerdings weißt Google zurecht darauf hin, dass 90 Prozent aller Android-Geräte mit einer Technologie namens ASLR ausgestattet sind. Das steht für Address Space Layout Randomization und erschwert durch eine Speicher-Randomisierung das Ausnutzen von Sicherheitslücken (ausführlicher hat das zum Beispiel Golem erklärt). Das sorgt zwar nicht für hundertprozentigen Schutz, verringert die Wahrscheinlichkeit einer erfolgreichen Attacke aber signifikant. Ein Angreifer müsste dann nicht nur eine, sondern vermutlich mehrere hundert MMS verschicken, bis der Schadcode zufällig an der richtigen Stelle ausgeführt wird.

Wie reagieren die Hersteller?

Zum Glück hat Google am Mittwoch angekündigt, das Sicherheits-Update zumindest für die eigenen Geräte fertig gestellt zu haben. Nexus 4, 5, 6, 7, 9 und 10 sowie der Nexus Player erhalten im Laufe der nächsten Tage nun einen Patch und sind damit sicher. Das Update wurde bereits im Juli an die Hersteller herausgegeben, die es nun für ihre jeweiligen Geräte anpassen müssen. Zusätzlich soll die nächste Version des Messengers, der SMS-App von Google, das automatische Abspielen von Videos verhindern; das würde das unbemerkte Ausnutzen der Sicherheitslücke erschweren.

Wie gefährlich Hacker wirklich sind

Apps im Auto, Wlan im Flugzeug, vernetzte Krankenhäuser und ferngesteuerte Smart Homes - die Digitalisierung macht den Alltag hackbar. Wie realistisch sind solche Angriffe? Ein Faktencheck. Von SZ-Autoren mehr ...

Samsung will diesen Monat ein Update an die Besitzer folgender Smartphones verteilen: Galaxy S6, S6 Edge, S5, Note 4 und Note 4 Edge. HTC wird das One M7, M8 und M9 patchen, Sony aktualisiert das Xperia Z2, Z3, Z4 und Z3 Compact, und LG sichert das G2, G3 und G4 ab.

Außerdem möchte Samsung ein neues Update-Modell einführen, das es ermöglicht, sicherheitsrelevante Aktualisierungen zukünftig schneller an die Kunden weiterzureichen. Derzeit befinde man sich noch in Verhandlungen mit den Mobilfunk-Providern. Google hat ebenfalls reagiert und wird Nexus-Geräte von nun an einmal monatlich mit Patches versorgen. Diese Updates sollen nach dem Kauf der Hardware mindestens drei Jahre lang verfügbar sein. Mittlerweile hat auch LG bestätigt, dass ein monatlicher Patch-Day geplant sei. Ob weitere Hersteller mit vergleichbaren Maßnahmen für ihre Geräte reagieren, ist nicht bekannt.

Was kann ich tun, um mich zu schützen?

Das Wichtigste ist, zunächst den automatischen Abruf von MMS zu verhindern. Das geht in der Standard-SMS-App bei den Einstellungen zu Multimedia-Nachrichten. Weiterhin sollten Android-Nutzer die Google-Apps "Messenger" und "Hangouts" deinstallieren (das funktioniert nur beim Samsung Galaxy S6) oder zumindest deaktivieren. Zeit Online empfiehlt außerdem, unbekannte Absender von MMS mithilfe von Drittanbieter-Apps zu blockieren und gibt eine Schritt-für Schritt Anleitung für die einzelnen Apps (vorletzter Absatz).

Warum dauert es so lange, bis die Lücken geschlossen werden?

Hier zeigt sich ein grundlegendes Problem von Android: Während es bei Apple immer nur eine Handvoll verschiedener Geräte gibt, von denen rund 85 Prozent die aktuellste iOS-Version 8 verwenden, sind es bei Android derzeit exakt 24 093 Geräte von 1 294 Herstellern. Auf lediglich 18 Prozent der Smartphones und Tablets laufen die Android-Version 5.0 oder 5.1, der Großteil der Nutzer hängt noch bei Android 4.4 (39 Prozent) oder der noch älteren Version Jelly Bean (Android 4.1 bis 4.3, zusammen 34,6 Prozent).

Fast alle Hersteller verändern das Betriebssystem nach eigenem Gutdünken, indem sie zusätzliche Apps installieren oder die Oberfläche verändern. Wenn nun Google ein Update für das "pure", hauseigene Android (auch "Vanilla Android" oder "Stock Android" genannt) veröffentlicht, dauert es oft Monate, bis Samsung, LG oder HTC ihre Geräte aktualisieren - wenn sie es denn überhaupt tun.

Apple muss nur ein oder maximal zwei Updates für die jeweils aktuellsten Versionen des Betriebssystems programmieren, dementsprechend schnell können Sicherheitslücken geschlossen werden. Bei Android ist das Gegenteil der Fall. Das veranlasste den renommierten Sicherheitsforscher Mikko Hypponen von F-Secure zu folgendem Tweet: "Offensichtlich ist der beste Weg, ein Update für sein Android-Smartphone zu erhalten, sich ein neues Android-Smartphone zu kaufen."