Joshua Drake scheut bei Stagefright keine Superlative. Er nennt die Sicherheitslücke: "Mutter aller Android-Schwachstellen" oder ganz unbescheiden "die schwerwiegendste Sicherheitslücke in der Geschichte mobiler Betriebssysteme". Das überrascht nicht, denn Drake hat die Sicherheitslücke entdeckt und arbeitet für die Sicherheitsfirma Zimperium, die Geld damit verdient, Software an besorgte Nutzer zu verkaufen. Je größer die Besorgnis, desto größer der Umsatz. Doch die Warnungen von Drake sind mehr als heiße Luft. Stagefright ist der Name einer Multimedia-Schnittstelle in Android-Betriebssystemen, über die Angreifer das betroffene Gerät in eine Wanze verwandeln können. Sie haben dann Zugriff auf Mikrofon und Kamera und können die Inhalte der Speicherkarte auslesen.
Welche Geräte sind betroffen?
Stagefright bedroht alle Smartphones und Tablets, auf denen eine neuere Android-Version als 2.2 installiert ist. Betroffen wären damit knapp 95 Prozent aller Android-Smartphones - das sind weltweit 950 Millionen Geräte.
Wie funktioniert der Angriff?
Drake hat elf Wege vorgestellt, über die sich ein Android-System angreifen lässt. Der gravierendste betrifft MMS-Nachrichten: Android lädt standardmäßig alle Multimedia-Inhalte nach Erhalt der Nachricht ungefragt herunter. Der Angreifer braucht also nur eine Handynummer, an die er eine präparierte MMS verschickt. Sobald ein Nutzer die Nachricht erhält, kann der Angreifer Videos und Sprachaufnahmen machen, die Bluetooth-Schnittstelle anzapfen und gespeicherte Fotos auslesen. Betroffen sind alle Nachrichten-Apps, die MMS empfangen können, etwa die vorinstallierte Standard-SMS-App. Besonders kritisch ist die Lücke bei Google Hangouts: Die App erlaubt, dass der Code in der MMS unbemerkt ausgeführt wird. Der Angreifer könne nach der Ausführung die MMS und mit ihr den Schadcode löschen, sagt Drake. Das Smartphone würde so unbemerkt zu einer Wanze.
Wie groß ist die Gefahr wirklich?
Google selbst hat das Risiko als hoch eingestuft: Drake hatte seinen Fund bereits im April an Google gemeldet, die sofort begannen, Sicherheits-Updates zu programmieren. Ein Problem wird eine Sicherheitslücke aber erst, sobald es Exploits dafür gibt - wenn sie also nicht nur in der Theorie existiert, sondern aktiv ausgenutzt wird. Diese Exploits scheinen nun in greifbarer Nähe zu sein: Forbes zufolge soll eine russische Firma entsprechende Anleitungen verkaufen, auch eine chinesische Webseite hat Details zu der Schwachstelle veröffentlicht. Allerdings weißt Google darauf hin, dass 90 Prozent aller Android-Smartphones mit einer Technologie namens ASLR ausgestattet sind, die das Ausnutzen von Sicherheitslücken erschwert. Das sorgt nicht für hundertprozentigen Schutz, verringert die Wahrscheinlichkeit einer erfolgreichen Attacke aber signifikant. Ein Angreifer müsste dann nicht nur eine, sondern vermutlich mehrere hundert MMS verschicken, bis der Schadcode zufällig an der richtigen Stelle ausgeführt wird.
Wie reagieren die Hersteller?
Google hat das Sicherheits-Update für die eigenen Geräte fertig gestellt. Nexus 4, 5, 6, 7, 9 und 10 sowie der Nexus Player erhalten im Laufe der nächsten Tage einen Patch und sind damit sicher. Samsung will diesen Monat ein Update an die Besitzer folgender Smartphones verteilen: Galaxy S6, S6 Edge, S5, Note 4 und Note 4 Edge. HTC wird das One M7, M8 und M9 patchen, Sony aktualisiert das Xperia Z2, Z3 (Compact) und Z4, und LG patcht das G2, G3 und G4. Außerdem möchte Samsung ein neues Update-Modell einführen, das sicherheitsrelevante Aktualisierungen schneller an die Kunden weiterreicht. Derzeit befinde man sich in Verhandlungen mit den Mobilfunk-Providern. Google hat ebenfalls reagiert und wird Nexus-Geräte von nun an einmal monatlich mit Patches versorgen. Auch LG hat bestätigt, dass ein monatlicher Patch-Day geplant sei. Ob weitere Hersteller mit vergleichbaren Maßnahmen für ihre Geräte reagieren, ist nicht bekannt.
Wie kann man sich schützen?
Das Wichtigste: den automatischen Abruf von MMS verhindern. Das geht in den Einstellungen der jeweiligen SMS-App. Weiterhin sollten Android-Nutzer die Google-Apps Messenger und Hangouts deaktivieren und den Empfang von MMS unbekannter Absender blockieren.
Warum dauert es so lange, bis die Lücken geschlossen werden?
Hier zeigt sich ein grundlegendes Problem von Android: Während es bei Apple immer nur eine Handvoll verschiedener Smartphones und Tablets gibt, sind es bei Android derzeit 24 093 Geräte von 1 294 Herstellern. Auf lediglich 18 Prozent laufen die aktuellsten Android-Versionen 5.0 oder 5.1. Fast alle Hersteller verändern das Betriebssystem, indem sie zusätzliche Apps installieren oder die Oberfläche verändern. Wenn nun Google ein Update für das "pure", hauseigene Android veröffentlicht, dauert es Monate, bis Samsung, LG oder HTC ihre Geräte aktualisieren - wenn überhaupt. Apple muss nur ein oder maximal zwei Updates für die aktuellsten Versionen des Betriebssystems programmieren, dementsprechend schnell können Sicherheitslücken geschlossen werden. Bei Android ist das Gegenteil der Fall. Der renommierte Sicherheitsforscher Mikko Hypponen von F-Secure fasste das auf Twitter so zusammen: "Offensichtlich ist der beste Weg, ein Update für sein Android-Smartphone zu erhalten, sich ein neues Android-Smartphone zu kaufen."