MMS-Sicherheitslücke Stagefright: TextSecure „sicher“ und Cyanogen patcht
von caschy | 13 Kommentare
Gestern wurde über eine Sicherheitslücke berichtet, die jede Menge Android-Geräte betreffen soll. Sie soll so schlimm sein, dass ein angegriffener Nutzer unter Umständen nicht einmal mitbekommt, dass er angegriffen wird. Das Einfallstor ist hier der automatische Download einer MMS, die Angreifern buchstäblich Tür und Tor öffnen soll.
Um auf der Black Hat-Konferenz 2015 in Las Vegas den größtmöglichen Hype zu bekommen, sind von den Entdeckern der Lücke keine genauen Details genannt worden, ebenfalls ist nicht bekannt, wie aktiv die Lücke namens Stagefright ausgenutzt wird. Nutzern kann man nur raten, MMS nicht automatisch herunterzuladen, sofern eure Nachrichten-App das eh nicht von vornherein blockt (bei Hangouts unter Einstellungen > SMS > Erweitert).
Die Macher des Messengers TextSecure haben ebenfalls Stellung zur Thematik bezogen. So gibt es keinen Schalter, um einen generellen MMS-Download zu blockieren. TextSecure hat das Ganze ab Werk geblockt, Nutzer müssten standardmäßig aktiv bestätigen, dass sie eine MMS herunterladen und ausführen wollen. Auch die Entwickler des CyanogenMod sind offenbar fleißig, sie haben sich aufgrund der Lücke schon gemeldet und lassen derzeit schon die Neuerungen in den CyanogenMod einfließen.
Natürlich darf man so einen Bug nicht unterschätzen, dennoch sollte man nicht in einen Hype verfallen. Es gibt meines Wissens keine groß angelegten Angriffswellen, die die Lücke ausnutzen, zudem muss man ja „nur“ den automatischen Empfang der MMS deaktivieren und dann darauf achten, dass man diese nicht von unbekannten Absendern ausführt. Google selber stuft den Bug übrigens als hoch ein, nicht aber als „kritisch“.
Wird geladen ...
Googles „Einstufung“ ist mir ehrlich gesagt wumpe. Automatischer MMS Empfang bei fast allen Nutzern aktiviert + komplette Geräte Übernahme möglich + Angriff bleibt unerkannt => wieviel kritischer darf es denn bitte noch sein?
Wie lange soll es noch so weiter gehen und wie viele kritische Lücken müssen noch auftreten bis Google etwas an der Updatepolitik von Android ändern ?
Die Jungs von CM sind nicht „aufgrund der Lücke schon gemeldet und lassen derzeit schon die Neuerungen in den CyanogenMod einfließen“, in der Quelle steht viel mehr: „have been patched in CM12.0 and 12.1 nightlies for a couple weeks“ – Betonung auf den letzten vier Wörtern. 😉
Und beim letzten Satz darf man ruhig dazusagen, dass sich die Lücke auf auch nur halbwegs aktuellen Android-Versionen gar nicht so einfach aufnutzen lässt, weil es schon entsprechende Vorkehrungen für sowas gibt. Daher kommt die Einordnung nämlich.
Ach guck. Ich nutze TextSecure als SMS App, seit ich damals einen Ersatz für Whatsapp gesucht habe. Mir gefiel dann einfach, dass ich normale SMS aber auch verschlüsselte Nachrichten damit verschicken kann. Seit dem nutze ich auch Redphone.
Hangouts soll von der Lücke auch betroffen sein.
„Um auf der Black Hat-Konferenz 2015 in Las Vegas den größtmöglichen Hype zu bekommen, sind von den Entdeckern der Lücke keine genauen Details genannt worden“
Das ist eine Interpretation. Ich fände es sch**** wenn genau Details bekannt würden ohne Zeit fürs patchen, so daß Script-Kinder diese ausnutzen könnten-
@fraggle die Lücke wird schon eine Weiile ausgenutzt, zZ allerdings wohl nur in gezielten Angriffen:
http://twit.TV/sn/519, ~0:16:00