MMS-Sicherheitslücke Stagefright: TextSecure „sicher“ und Cyanogen patcht

Gestern wurde über eine Sicherheitslücke berichtet, die jede Menge Android-Geräte betreffen soll. Sie soll so schlimm sein, dass ein angegriffener Nutzer unter Umständen nicht einmal mitbekommt, dass er angegriffen wird. Das Einfallstor ist hier der automatische Download einer MMS, die Angreifern buchstäblich Tür und Tor öffnen soll.

Android

Um auf der Black Hat-Konferenz 2015 in Las Vegas den größtmöglichen Hype zu bekommen, sind von den Entdeckern der Lücke keine genauen Details genannt worden, ebenfalls ist nicht bekannt, wie aktiv die Lücke namens Stagefright ausgenutzt wird. Nutzern kann man nur raten, MMS nicht automatisch herunterzuladen, sofern eure Nachrichten-App das eh nicht von vornherein blockt (bei Hangouts unter Einstellungen > SMS > Erweitert).

Die Macher des Messengers TextSecure haben ebenfalls Stellung zur Thematik bezogen. So gibt es keinen Schalter, um einen generellen MMS-Download zu blockieren. TextSecure hat das Ganze ab Werk geblockt, Nutzer müssten standardmäßig aktiv bestätigen, dass sie eine MMS herunterladen und ausführen wollen. Auch die Entwickler des CyanogenMod sind offenbar fleißig, sie haben sich aufgrund der Lücke schon gemeldet und lassen derzeit schon die Neuerungen in den CyanogenMod einfließen.

Natürlich darf man so einen Bug nicht unterschätzen, dennoch sollte man nicht in einen Hype verfallen. Es gibt meines Wissens keine groß angelegten Angriffswellen, die die Lücke ausnutzen, zudem muss man ja „nur“ den automatischen Empfang der MMS deaktivieren und dann darauf achten, dass man diese nicht von unbekannten Absendern ausführt. Google selber stuft den Bug übrigens als hoch ein, nicht aber als „kritisch“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. Googles „Einstufung“ ist mir ehrlich gesagt wumpe. Automatischer MMS Empfang bei fast allen Nutzern aktiviert + komplette Geräte Übernahme möglich + Angriff bleibt unerkannt => wieviel kritischer darf es denn bitte noch sein?

  2. Wie lange soll es noch so weiter gehen und wie viele kritische Lücken müssen noch auftreten bis Google etwas an der Updatepolitik von Android ändern ?

  3. Die Jungs von CM sind nicht „aufgrund der Lücke schon gemeldet und lassen derzeit schon die Neuerungen in den CyanogenMod einfließen“, in der Quelle steht viel mehr: „have been patched in CM12.0 and 12.1 nightlies for a couple weeks“ – Betonung auf den letzten vier Wörtern. 😉

    Und beim letzten Satz darf man ruhig dazusagen, dass sich die Lücke auf auch nur halbwegs aktuellen Android-Versionen gar nicht so einfach aufnutzen lässt, weil es schon entsprechende Vorkehrungen für sowas gibt. Daher kommt die Einordnung nämlich.

  4. Ach guck. Ich nutze TextSecure als SMS App, seit ich damals einen Ersatz für Whatsapp gesucht habe. Mir gefiel dann einfach, dass ich normale SMS aber auch verschlüsselte Nachrichten damit verschicken kann. Seit dem nutze ich auch Redphone.

  5. Hangouts soll von der Lücke auch betroffen sein.

    „Um auf der Black Hat-Konferenz 2015 in Las Vegas den größtmöglichen Hype zu bekommen, sind von den Entdeckern der Lücke keine genauen Details genannt worden“
    Das ist eine Interpretation. Ich fände es sch**** wenn genau Details bekannt würden ohne Zeit fürs patchen, so daß Script-Kinder diese ausnutzen könnten-

  6. @fraggle die Lücke wird schon eine Weiile ausgenutzt, zZ allerdings wohl nur in gezielten Angriffen:
    http://twit.TV/sn/519, ~0:16:00

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.