Android hat einen massiven Sicherheitsfehler in einer Komponente namens «Stagefright». Nur das Empfangen einer böswilligen MMS-Nachricht kann dazu führen, dass Ihr Telefon kompromittiert wird. Es ist überraschend, dass wir keinen Wurm gesehen haben, der sich von Telefon zu Telefon ausbreitet, wie es Würmer in den frühen Windows XP-Tagen getan haben – alle Zutaten sind hier.
Es ist tatsächlich ein bisschen schlimmer als es klingt. Die Medien haben sich weitgehend auf die MMS-Angriffsmethode konzentriert, aber selbst in Webseiten oder Apps eingebettete MP4-Videos können Ihr Telefon oder Tablet gefährden.
Warum der Stagefright-Fehler gefährlich ist – es ist nicht nur MMS
Einige Kommentatoren haben diesen Angriff «Stagefright» genannt, aber es ist tatsächlich ein Angriff auf eine Komponente in Android namens Stagefright. Dies ist eine Multimedia-Player-Komponente in Android. Es hat eine Sicherheitslücke, die ausgenutzt werden kann – am gefährlichsten über eine MMS, bei der es sich um eine Textnachricht mit eingebetteten Multimedia-Komponenten handelt.
Viele Hersteller von Android-Handys haben sich unklugerweise dafür entschieden, Stagefright-Systemberechtigungen zu erteilen, was einen Schritt unter dem Root-Zugriff liegt. Durch das Ausnutzen von Stagefright kann ein Angreifer je nach Konfiguration des Geräts Arbtirary-Code mit den Berechtigungen «Medien» oder «System» ausführen. Systemberechtigungen würden dem Angreifer im Grunde einen vollständigen Zugriff auf sein Gerät ermöglichen. Zimperium, die Organisation, die das Problem entdeckt und gemeldet hat, bietet an mehr Details.
Typische Android-SMS-Apps rufen eingehende MMS-Nachrichten automatisch ab. Dies bedeutet, dass Sie nur von jemandem kompromittiert werden können, der Ihnen eine Nachricht über das Telefonnetz sendet. Wenn Ihr Telefon kompromittiert ist, kann ein Wurm, der diese Sicherheitsanfälligkeit verwendet, Ihre Kontakte lesen und schädliche MMS-Nachrichten an Ihre Kontakte senden, die sich wie ein Lauffeuer ausbreiten, wie es der Melissa-Virus 1999 mithilfe von Outlook und E-Mail-Kontakten getan hat.
Erste Berichte konzentrierten sich auf MMS, da dies der potenziell gefährlichste Vektor war, den Stagefright nutzen konnte. Aber es ist nicht nur MMS. Wie Trend Micro wies darauf hinDiese Sicherheitsanfälligkeit befindet sich in der Komponente „Mediaserver“, und eine auf einer Webseite eingebettete schädliche MP4-Datei kann sie ausnutzen – ja, indem Sie einfach zu einer Webseite in Ihrem Webbrowser navigieren. Eine in eine App eingebettete MP4-Datei, die Ihr Gerät ausnutzen möchte, kann dasselbe tun.
Ist Ihr Smartphone oder Tablet anfällig?
Ihr Android-Gerät ist wahrscheinlich anfällig. 95 Prozent der Android-Geräte in freier Wildbahn sind anfällig für Stagefright.
Um sicherzugehen, installieren Sie die Stagefright Detector App von Google Play. Diese App wurde von Zimperium erstellt, das die Stagefright-Sicherheitslücke entdeckte und meldete. Es überprüft Ihr Gerät und zeigt an, ob Stagefright auf Ihrem Android-Handy gepatcht wurde oder nicht.
So verhindern Sie Stagefright-Angriffe, wenn Sie anfällig sind
Soweit wir wissen, werden Sie mit Android-Antiviren-Apps nicht vor Stagefright-Angriffen geschützt. Sie verfügen nicht unbedingt über genügend Systemberechtigungen, um MMS-Nachrichten abzufangen und Systemkomponenten zu stören. Google kann die Google Play Services-Komponente in Android auch nicht aktualisieren, um diesen Fehler zu beheben. Diese Patchwork-Lösung wird häufig von Google verwendet, wenn Sicherheitslücken auftreten.
Um wirklich zu verhindern, dass Sie kompromittiert werden, müssen Sie verhindern, dass die Messaging-App Ihrer Wahl MMS-Nachrichten herunterlädt und startet. Im Allgemeinen bedeutet dies, dass die Einstellung „MMS Auto-Retrieval“ in den Einstellungen deaktiviert wird. Wenn Sie eine MMS-Nachricht erhalten, wird diese nicht automatisch heruntergeladen. Sie müssen sie herunterladen, indem Sie auf einen Platzhalter oder ähnliches tippen. Sie sind nur gefährdet, wenn Sie die MMS herunterladen.
Du solltest das nicht tun. Wenn die MMS von jemandem stammt, den Sie nicht kennen, ignorieren Sie sie auf jeden Fall. Wenn die MMS von einem Freund stammt, ist das Telefon möglicherweise kompromittiert, wenn ein Wurm abhebt. Es ist am sichersten, niemals MMS-Nachrichten herunterzuladen, wenn Ihr Telefon anfällig ist.
Führen Sie die entsprechenden Schritte für Ihre Messaging-App aus, um das automatische Abrufen von MMS-Nachrichten zu deaktivieren.
- Messaging (in Android integriert): Öffnen Sie Messaging, tippen Sie auf die Menüschaltfläche und anschließend auf Einstellungen. Scrollen Sie zum Abschnitt «Multimedia-Nachrichten (MMS)» und deaktivieren Sie «Automatisch abrufen».
- Bote (von Google): Öffnen Sie Messenger, tippen Sie auf das Menü, tippen Sie auf Einstellungen, tippen Sie auf Erweitert und deaktivieren Sie «Automatischer Abruf».
- Hangouts (von Google): Öffnen Sie Hangouts, tippen Sie auf das Menü und navigieren Sie zu Einstellungen> SMS. Deaktivieren Sie unter «Erweitert» die Option «SMS automatisch abrufen». (Wenn hier keine SMS-Optionen angezeigt werden, verwendet Ihr Telefon keine Hangouts für SMS. Deaktivieren Sie die Einstellung in der SMS-App, die Sie stattdessen verwenden.)
- Mitteilungen (von Samsung): Öffnen Sie Nachrichten und navigieren Sie zu Mehr> Einstellungen> Weitere Einstellungen. Tippen Sie auf Multimedia-Mitteilungen und deaktivieren Sie die Option „Automatischer Abruf“. Diese Einstellung befindet sich möglicherweise an einer anderen Stelle auf verschiedenen Samsung-Geräten, die unterschiedliche Versionen der Nachrichten-App verwenden.
Es ist unmöglich, hier eine vollständige Liste zu erstellen. Öffnen Sie einfach die App, mit der Sie SMS-Nachrichten (Textnachrichten) senden, und suchen Sie nach einer Option, mit der das automatische Abrufen oder automatische Herunterladen von MMS-Nachrichten deaktiviert wird.
Warnung: Wenn Sie eine MMS-Nachricht herunterladen möchten, sind Sie immer noch anfällig. Da die Stagefright-Sicherheitsanfälligkeit nicht nur ein Problem mit MMS-Nachrichten ist, werden Sie dadurch nicht vollständig vor jeder Art von Angriff geschützt.
Wann erhält Ihr Telefon einen Patch?
Anstatt zu versuchen, den Fehler zu umgehen, ist es besser, wenn Ihr Telefon gerade ein Update erhalten hat, mit dem es behoben wurde. Leider ist die Android-Update-Situation derzeit ein Albtraum. Wenn Sie ein aktuelles Flaggschiff-Telefon haben, können Sie wahrscheinlich irgendwann mit einem Upgrade rechnen – hoffentlich. Wenn Sie ein älteres Telefon haben, insbesondere ein Telefon der unteren Preisklasse, besteht eine gute Chance, dass Sie nie ein Update erhalten.
- Nexus-Geräte: Google hat jetzt Updates für Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 und Nexus 10 veröffentlicht. Das ursprüngliche Nexus 7 (2012) wird anscheinend nicht mehr unterstützt und wird nicht gepatcht
- Samsung: Sprint hat damit begonnen, Updates für das Galaxy S5, S6, S6 Edge und Note Edge herauszubringen. Es ist unklar, wann andere Anbieter diese Updates veröffentlichen.
Google auch sagte Ars Technica dass «die beliebtesten Android-Geräte» das Update im August erhalten würden, einschließlich:
- Samsung: Das Galaxy S3, S4 und Note 4 zusätzlich zu den oben genannten Telefonen.
- HTC: Der One M7, One M8 und One M9.
- LG: Die G2, G3 und G4.
- Sony: Das Xperia Z2, Z3, Z4 und Z3 Compact.
- Android One von Google unterstützte Geräte
Motorola hat außerdem angekündigt, seine Telefone ab August mit Updates zu versehen, darunter Moto X (1. und 2. Generation), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. und 3. Generation) und Moto G. mit 4G LTE (1. und 2. Generation), Moto E (1. und 2. Generation), Moto E mit 4G LTE (2. Generation), DROID Turbo und DROID Ultra / Mini / Maxx.
Google Nexus, Samsung und LG haben sich verpflichtet, ihre Telefone einmal im Monat mit Sicherheitsupdates zu aktualisieren. Dieses Versprechen gilt jedoch nur für Flaggschiff-Telefone und würde die Zusammenarbeit der Netzbetreiber erfordern. Es ist unklar, wie gut das funktionieren würde. Netzbetreiber könnten diesen Updates möglicherweise im Wege stehen, und dies lässt immer noch eine große Anzahl – Tausende verschiedener Modelle – von in Gebrauch befindlichen Telefonen ohne das Update zurück.
Oder installieren Sie einfach CyanogenMod
CyanogenMod ist ein benutzerdefiniertes Android-ROM eines Drittanbieters, das häufig von Enthusiasten verwendet wird. Es bringt eine aktuelle Version von Android auf Geräte, die von den Herstellern nicht mehr unterstützt werden. Dies ist nicht wirklich die ideale Lösung für eine durchschnittliche Person, da der Bootloader Ihres Telefons entsperrt werden muss. Wenn Ihr Telefon jedoch unterstützt wird, können Sie diesen Trick verwenden, um eine aktuelle Version von Android mit aktuellen Sicherheitsupdates zu erhalten. Die Installation ist keine schlechte Idee CyanogenMod wenn Ihr Telefon vom Hersteller nicht mehr unterstützt wird.
CyanogenMod hat die Stagefright-Sicherheitsanfälligkeit in den nächtlichen Versionen behoben, und das Update sollte bald über ein OTA-Update in die stabile Version gelangen.
Android hat ein Problem: Die meisten Geräte erhalten keine Sicherheitsupdates
Dies ist leider nur eine der vielen Sicherheitslücken, die alte Android-Geräte aufweisen. Es ist nur eine besonders schlechte, die mehr Aufmerksamkeit erhält. Die meisten Android-Geräte – alle Geräte mit Android 4.3 und älter – verfügen beispielsweise über eine anfällige Webbrowser-Komponente. Dies wird niemals gepatcht, es sei denn, die Geräte werden auf eine neuere Version von Android aktualisiert. Sie können sich dagegen schützen, indem Sie Chrome oder Firefox ausführen. Dieser anfällige Browser befindet sich jedoch für immer auf diesen Geräten, bis sie ersetzt werden. Hersteller sind nicht daran interessiert, sie auf dem neuesten Stand zu halten und zu warten, weshalb sich so viele Menschen an CyanogenMod gewandt haben.
Google, Android-Gerätehersteller und Mobilfunkanbieter müssen sich in Ordnung bringen, da die derzeitige Methode zum Aktualisieren – oder besser gesagt nicht zum Aktualisieren – von Android-Geräten zu einem Android-Ökosystem führt, in dem Geräte im Laufe der Zeit Löcher aufbauen. Aus diesem Grund sind iPhones sicherer als Android-Telefone – iPhones erhalten tatsächlich Sicherheitsupdates. Apple hat sich verpflichtet, iPhones länger zu aktualisieren als Google (nur Nexus-Telefone), Samsung und LG verpflichten sich, auch ihre Telefone zu aktualisieren.
Sie haben wahrscheinlich gehört, dass die Verwendung von Windows XP gefährlich ist, da es nicht mehr aktualisiert wird. XP wird im Laufe der Zeit weiterhin Sicherheitslücken aufbauen und immer anfälliger werden. Die meisten Android-Telefone werden auf die gleiche Weise verwendet – sie erhalten auch keine Sicherheitsupdates.
Einige Exploit-Maßnahmen könnten dazu beitragen, dass ein Stagefright-Wurm nicht Millionen von Android-Handys übernimmt. Google argumentiert, dass ASLR und andere Schutzmaßnahmen für neuere Versionen von Android dazu beitragen, dass Stagefright nicht angegriffen wird, und dies scheint teilweise richtig zu sein.
Einige Mobilfunkanbieter scheinen auch potenziell böswillige MMS-Nachrichten zu blockieren, sodass sie niemals anfällige Telefone erreichen können. Dies würde dazu beitragen, die Ausbreitung eines Wurms über MMS-Nachrichten zu verhindern, zumindest bei Carriern, die Maßnahmen ergreifen.
Bildnachweis: Matteo Doni auf Flickr