Auf fast allen Android-Geräten kann über eine fatale Sicherheitslücke ein beliebiger Code auf dem Smartphone ausgeführt werden. Dabei handelt es sich um den schlimmsten Vorfall, den man sich bezogen auf die Sicherheit eines Smartphones vorstellen kann. Es betrifft Android-Geräte ab der Version 2.2 – also fast alle am Markt befindlichen Smartphones, da Versionen unter 2.2 nur mehr selten zu finden sind (Android-Verteilung: Version 5.0/5.1 „Lollipop“ nach vier Monaten auf fast 10 Prozent von heise.de).

Um die Sicherheitslücke auszunutzen, muss lediglich die Telefonnummer des Smartphones bekannt sein. Durch den Versand einer manipulierten MMS (Multimedia Message, erfolgloser Nachfolger von SMS) kann der beliebige Code auf dem Gerät des Empfängers gestartet werden. Im Zuge eines Angriffs ist es sogar möglich, die Nachricht zu löschen, bevor der Empfänger die Nachricht lesen kann. Ebenso ist keine Interaktion des Opfers notwendig, der alleinige Empfang der manipulierten Nachricht resultiert in einer Infektion. Der Empfänger muss die Nachricht nicht öffnen, weil das Default-Verhalten von Android ein automatisches Laden einer MMS vorsieht.

Google hat bereits ein Update bereitgestellt, jedoch kommt die Eigenheit von Android-Geräten schwerwiegend zu tragen. Google stellt zwar die Updates für die Smartphones bereit, jedoch müssen die Hersteller der Geräte die neue Version anpassen und Updates für ihre Geräte anbieten. Und hier zeigt sich, dass die Hersteller kein großes Interesse an Updates und Sicherheitspatches haben. Die Vergangenheit bewies: Günstige Geräte werden nur unzureichend mit Updates versorgt. Am ehesten haben die Besitzer von High-End-Geräten die Chance, dass das Leck bei ihrem System gestopft wird. Hersteller wollen Neugeräte verkaufen, das Interesse an der Wartung von „alten“ Geräten (älter als zwei Jahre) schwindet immens.

CyanogenMod kann hier bei älteren Geräten eine Alternative sein: Version 12.1 von Cyanogen OS und CyanogenMod mit Android 5.1.1

Avraham, Vorsitzender von Zimperium zLabs, das diese Sicherheitslücke entdeckte:

„This is more challenging than Heartbleed, because in that case you can simply patch the server.“

„We are seeing a lot of attacks. This is the most silent threat to the enterprise out there, empowering attackers to essentially spy on anyone from executives to prime ministers and celebrities.“

Wird die Sicherheitslücke mit einer Privilegien-Escalation kombiniert, kann sich das Ausmaß der Schadcodes um einiges vergrößern. Der Angreifer könnte damit Superpower-Rechte erhalten. Und tatsächlich gibt es schon erste Schad-Software.

Privilegien-Escalation: WOOT15: One Class To Rule Them All (Youtube-Video)

https://www.youtube.com/watch?v=VekzwVdwqIY

SilentCircle hat für seine Blackphone-Geräte bereits ein Update bereitgestellt.

Ist mein Gerät über Stagefright angreifbar?

Stagefright Detector App von Zimperium Inc. im Google Play Store herunterladen

Welche Hersteller von Smartphones bieten ihren Kunden ein Sicherheitsupdate zu Stagefright an?

Auf Androidpit.de wird eine Liste von Herstellern und Patches gewartet: Stagefright in Android: Die Patches zur Mutter aller Sicherheitslücken – Update: HTC, Sony und LG ziehen nach

Workaround für die Stagefright-Lücke (Youtube-Video)

In diesem Video wird die Sicherheitslücke kurz erklärt und am Ende wird ein Workaround angeboten.

Siehe auch:

• Google behebt Sicherheitslücken in älteren Versionen von Android OS nicht
• Bösartige Android-App stiehlt Daten
• HijackRAT zielt auf Banking-Apps auf Android-Geräten ab
• Android-Malware Selfmite verbreitet sich über SMS
• Ransomware greift Android-Geräte an
• Android-Geräte weiterhin ohne Patch
• Sicherheitslücken bei Android-Updates entdeckt
• FBI und DHS beunruhigt wegen Android-Schwachstellen
• Forscher entdecken bösartige Bank-App im Android-System
• Fehler im Android-Betriebssystem erlaubt es, Apps heimlich abzuändern
• Android speichert Passwörter vom privaten WLAN bei Google
• Android-Apps von Sky von der Syrian Electronic Army gehackt
• 2 Mio. verseuchte Android-Geräte mit BadNews über Google-Play
• Android Smartphones bieten Möglichkeiten zum Angriff n
• 93% der mobilen Schadcodes ist für Android

Artikel von arstechnica.com, 27.07.2015: 950 million Android phones can be hijacked by malicious text messages
Artikel von darkreading.com, 27.07.2015: Stagefright Android Bug: ‚Heartbleed for Mobile‘ But Harder To Patch
Artikel in theregister.co.ukm 05.08.2015: Biggest security update in history coming up: Google patches Android hijack bug Stagefright
Artikel von theregister.co.uk, 13.08.2015: Google flubs patch for Stagefright security bug in 950 million Androids
Artikel in heise.de, 14.08.2015: Stagefright-Lücken in Android: Googles Patch ist fehlerhaft