Android kämpft mit #MMSgate

Während vor kurzem noch iOS-Geräte gezielt mit einer bestimmten Zeichenfolge außer Gefecht gesetzt werden konnten, kämpfen nun Android-Nutzer mit einem viel schlimmeren Fehler – dem #MMSgate. Mittels einer manipulierten MMS-Nachricht kann dem jeweiligen Android-Gerät belieber Code untergeschoben werden, der in den meisten Fällen direkt beim Ankunft der Nachricht automatisch mit Admin-Rechten ausgeführt wird. 

Entdeckt wurde diese Lücke vom IT-Sicherheitsforscher Joshua Drake der diese im Rahmen der Black Hat Konferenz genauer vorstellen will. Besonders Anfällig für den Fehler sind Android-Versionen unter 4.1, dort wird eine manipulierte MMS-Nachricht sofort und ohne Benutzerinteraktion ausgeführt. Doch nicht nur MMS ist betroffen, auch über Hangouts kann die manipulierte Datei gesendet werden. Schuld an der Misere ist das Multimedia-Framework Stagefright, das in älteren Android-Versionen weitreichende Systemrechte besitzt.

Rund 95% aller Android-Geräte sind von dem Stagefright-Fehler betroffen und ein Großteil der 950 Millionen betroffenen Geräte dürfte auch kein Update auf eine neue Version erhalten. Besonders Fatal: Der Fehler ermöglicht es den Angreifern beliebigen Code auszuführen, so kann das Smartphone problemlos in eine Wanze verwandelt werden. Beliebige Audio- und Video-Mitschnitte können aufgezeichnet und an den Angreifer weitergeleitet werden.

Entwickler von alternativen Android-Distributionen wie beispielsweise CyanogenMod werden entsprechende Updates veröffentlichen. Auch die Google eigenen Nexus und Motorola-Geräte werden wohl in kürze entsprechende Updates erhalten. Bei den restlichen Herstellern wird es vermutlich weniger gut aussehen, bereits in der Vergangenheit wurden hier nur unzureichend entsprechende Updates an ältere Geräte weitergeleitet.

Nutzer älterer Geräte die nicht mehr mit einem Update rechnen können sollten in den Android-Einstellungen den MMS-Empfang deaktivieren. Zusätzlich sollte außerdem auf Hangouts verzichtet werden – weitere Workarounds werden wir in kürze auf Xgadget zur Verfügung stellen.



Stagefright-Logo (Bild: Joshua Drake) mit Android-Männchen. Schadcode durch MMS- und Hangout-Nachrichten.
Datum:
31.07.2015, 01:13 Uhr
Aktualisiert:
31.07.2015, 01:39 Uhr
Autor:
Stefan Kröll
Comments:
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

* gesponserter Link
Blogverzeichnis - Bloggerei.de