Vor ziemlich genau einem Jahr erschütterte Stagefright die Android-Community. Die "Mutter aller Android-Schwachstellen" oder wahlweise "schwerwiegendste Sicherheitslücke in der Geschichte mobiler Betriebssysteme" machte Hunderte Millionen Android-Geräte angreifbar. Während Android-Nutzer eilig die MMS-Funktion ihres Smartphones deaktivierten oder Sicherheitsupdates einspielten, konnten sich iPhone-Besitzer entspannt zurücklehnen. Bis jetzt.
Der Sicherheitsforscher Tyler Bohan von Cisco Talos hat eine Sicherheitslücke in iOS und OSX entdeckt, die Stagefright frappierend ähnelt. Auch in diesem Fall ist der Angriffsvektor ein Framework für Multimediadateien ("ImageIO"), das bedeutet: Wenn Nutzer die manipulierten Bilder im TIFF-Format auf ihren Smartphones empfangen, können die Angreifer Schadcode ausführen. Dafür muss das Bild nicht einmal geöffnet werden. Es reicht, wenn es per iMessage oder MMS auf dem iPhone oder dem Mac ankommt.
Es gibt bereits ein Update
Apple hat das Problem bereits behoben und am 18. Juli neue, abgesicherte Versionen seiner Betriebssysteme veröffentlicht. Nutzer sollten deshalb so rasch wie möglich auf iOS 9.3.3 bzw. OS X 10.11.6 updaten. Als kurzfristige Lösung können Sie auf Ihrem iPhone iMessage und MMS deaktivieren. Dann empfangen Sie lediglich Textnachrichten und keine Bilddateien, der Schadcode kann somit nicht geöffnet werden.
Vermutlich sind aktuell mehrere Hundert Millionen Apple-Geräte betroffen. Das Tech-Portal Quartz vermutet, dass auf mindestens 97 Millionen iPhones und Macs noch iOS 8 installiert ist - diese seien alle unsicher. Hinzu kämen alle jene Geräte, die in den vergangenen drei Tagen nicht auf die neueste Version von iOS 9 aktualisiert wurden.
Immerhin hat Apple zeitnah Updates bereitgestellt, die alle Nutzer installieren können. Bei Android-Handys sieht es anders aus. Obwohl Stagefright bereits ein Jahr zurückliegt, gibt es immer noch etliche ungeschützte Geräte. Google selbst trifft dabei nur geringe Schuld. Das Problem sind die Hersteller, die sein Betriebssystem nutzen, und Updates für ihre Smartphones gar nicht oder mit großer Verzögerung bereitstellen. Zwar versucht Google, sie zu raschen Sicherheitsupdates zu verpflichten, aber das klappt oft nur bei aktuellen Spitzenmodellen.
