Android-Sicherheitslücke Stagefright - das Handy als Wanze

Das sagen Experten zum Mega-Bug

Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Über 90 Prozent aller Android-Devices sind von der Sicherheitslücke Stagefright bedroht. Zwei Sicherheitsexperten von Gemalto und Veracode nehmen dazu Stellung und geben Tipps.
Über 90 Prozent der Android-Devices sind durch eine Sicherheitslücke in Stagefright bedroht.
Über 90 Prozent der Android-Devices sind durch eine Sicherheitslücke in Stagefright bedroht.
Foto: Zimperium

Eine MMS oder Hangout-Nachricht reicht, um das Gros der Android-Devices unbemerkt anzugreifen. Auf diese Weise kann der Angreifer dann, wie berichtet, ein Sicherheitsleck in der Android internen Messenger-API Stagefright ausnutzen. Je nach Modell erhält der Angreifer so fast unbegrenzten Zugriff auf das Smartphone. In der Regel soll der Angreifer zumindest Audio- und Videoaufnahmen erstellen können, Zugriff auf die gespeicherten Fotos erhalten. Ebenso gilt die Bluetooth-Schnittstille bei diesem Bug als bedroht.

Deshalb hält auch Rémi de Fouchier, Vice President beim Sicherheitsspezialisten Gemalto, die Sicherheitslücke für sehr bedrohlich. Arved Graf von Stackelberg, General Manager beim Application-Security-Spezialist Veracode, vergleicht den Android-Bug gar mit der 2014 aufgedeckten Sicherheitslücke "Heartbleed".

Remi de Fouchier,Gemalto:

"Das Potenzial dieser Sicherheitslücke bei Android-Handys ist sehr besorgniserregend aber es gibt Möglichkeiten, wichtige Informationen und Anmeldeinformationen durch den Einsatz von Secure Elements auf Android-Handys zu schützen. Diese Secure Elements sind Sicherheitsmodule, die in der neuesten Generation von SIM Karten sowie in speziellen Chips integriert sind (so genannte Embedded Secure Elements und Trusted Execution Environment). Diese werden beispielsweise bereits von Apple in allen iPhones eingesetzt. Zusätzlichen Schutz bieten robuste mobile Software-Sicherheitsverfahren, die sensible Daten durch Token ersetzen und sie dann im Telefon-Code verbergen. Der Hintergrund des aktuellen Angriffs ist bisher nicht bekannt und es scheint nicht so als würden massenhaft Daten gestohlen. Dennoch zeigt dieser Vorfall einmal mehr, wie zwingend notwendig heutzutage der Einsatz der richtigen Sicherheitstechnologie ist, um private Informationen zu schützen."

Arved Graf von Stackelberg, Veracode:

Experten vergleichen die jetzt gefundene Lücke bereits mit dem Heartbleed-Bug, der 2014 die Internet-Welt verunsicherte.
Experten vergleichen die jetzt gefundene Lücke bereits mit dem Heartbleed-Bug, der 2014 die Internet-Welt verunsicherte.
Foto: Codenomicon

"Stagefright ist wie Heartbleed für Mobile - eine von außen angreifbare Schwachstelle, von der Millionen Android-basierter Smartphones und Tablets betroffen sind. Solche Bugs sind äußerst selten und stellen ernsthafte Sicherheitslücken für die Anwender dar. Sie werden ohne Klick auf einen Link ausgeführt, es öffnet sich automatisch eine Datei oder eine SMS. Alles, was ein Angreifer tun muss, ist eine MMS an das entsprechende Gerät des Nutzers zu senden und abzuwarten. Die Malware übernimmt alles weitere. Es wird besonders interessant zu sehen, wie Google auf das Problem reagiert. Ein entsprechender Patch muss schnell und umfassend auf jedem betroffenen Gerät zur gleichen Zeit installiert werden. Wenn wir darauf warten, dass die Handy-Hersteller oder -Betreiber selbst einen Patch herausbringen könnte ein Monat oder mehr vergehen. Und da das auch nicht bei allen gleichzeitig passieren wird, hätte ein Angreifer die Möglichkeit, den ersten veröffentlichten Patch zu analysieren und einen Gegenangriff zu starten, von dem letztendlich alle Geräte betroffen wären. Wir rechnen daher damit, dass Google hier eine Lösung bereitstellen wird."