MMS-Sicherheitslücke Stagefright: TextSecure „sicher“ und Cyanogen patcht

28. Juli 2015 Kategorie: Android, Backup & Security, geschrieben von:

Gestern wurde über eine Sicherheitslücke berichtet, die jede Menge Android-Geräte betreffen soll. Sie soll so schlimm sein, dass ein angegriffener Nutzer unter Umständen nicht einmal mitbekommt, dass er angegriffen wird. Das Einfallstor ist hier der automatische Download einer MMS, die Angreifern buchstäblich Tür und Tor öffnen soll.

Android

Um auf der Black Hat-Konferenz 2015 in Las Vegas den größtmöglichen Hype zu bekommen, sind von den Entdeckern der Lücke keine genauen Details genannt worden, ebenfalls ist nicht bekannt, wie aktiv die Lücke namens Stagefright ausgenutzt wird. Nutzern kann man nur raten, MMS nicht automatisch herunterzuladen, sofern eure Nachrichten-App das eh nicht von vornherein blockt (bei Hangouts unter Einstellungen > SMS > Erweitert).

Die Macher des Messengers TextSecure haben ebenfalls Stellung zur Thematik bezogen. So gibt es keinen Schalter, um einen generellen MMS-Download zu blockieren. TextSecure hat das Ganze ab Werk geblockt, Nutzer müssten standardmäßig aktiv bestätigen, dass sie eine MMS herunterladen und ausführen wollen. Auch die Entwickler des CyanogenMod sind offenbar fleißig, sie haben sich aufgrund der Lücke schon gemeldet und lassen derzeit schon die Neuerungen in den CyanogenMod einfließen.

Natürlich darf man so einen Bug nicht unterschätzen, dennoch sollte man nicht in einen Hype verfallen. Es gibt meines Wissens keine groß angelegten Angriffswellen, die die Lücke ausnutzen, zudem muss man ja „nur“ den automatischen Empfang der MMS deaktivieren und dann darauf achten, dass man diese nicht von unbekannten Absendern ausführt. Google selber stuft den Bug übrigens als hoch ein, nicht aber als „kritisch“.


Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25468 Artikel geschrieben.