Sicherheitsforscher: „Schlimmste Android-Lücke“ gefunden, betrifft 95 Prozent aller Geräte

Von Sicherheitslücken und potentiellen Bedrohungen hören wir fast jeden Tag. Gerade nach dem Leak der Hacking Team-Daten wird noch einiges auf uns zukommen. Im August steht wieder in Las Vegas die Black Hat 2015 an, eine Sicherheitskonferenz, auf der oftmals Sicherheitslücken aufgezeigt werden. Auch die Firma Zimperium will dort etwas vorführen und spricht von einer Lücke („die schlimmste Android-Lücke, die es je gegeben hat!“) namens Stagefright, die 95 Prozent der Android-Geräte mit Android 2.2 bis 5.1 betreffen soll.

Android

Angreifer sollen über eine MMS-Mediendatei Zugriff auf das System des Opfers bekommen können, das Wissen der Telefonnummer des Opfers vorausgesetzt. Laut Zimperium wiegt die Lücke schwer, denn sie erfordert kein Eingreifen des Opfers – so wie es beispielsweise bei Angriffen über präparierte PDF-Dateien der Fall ist. Google soll bereits die entsprechenden Sicherheitsvorkehrungen im Android Open Source Project getroffen haben, was natürlich nicht immer heißt, dass ein Patch auch sofort beim Anwender landet. Schauen wir also Anfang August mal alle, was an neuen Bedrohungen potentiell auf uns zukommt. (Update 18:00 Uhr: bei Forbes melden sich Sicherheitsforscher mit weiteren Details zu Wort).

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. MMS? Echt? Bei mir ist der automatische Abruf dieser deaktiviert seit ich denken kann… Wie soll dann diese Mediendatei ankommen? Gehöre ich wohl zu den 5%.

  2. MMS habe ich schon seit mindestens 10 Jahren nicht mehr bekommen. Ist bei mir standardmäßig deaktiviert.

  3. @Tom: Geht mir auch so. Habe den automatischen MMS Download schon ewige Zeiten deaktiviert. Man muss nur aufpassen, dass einem das Hangouts nicht wieder aktiviert.

  4. Wo findet man bei Android die Einstellung dazu? Oder ist das ein Provider Setting?

  5. 95% kann wohl nicht sein denn diese 95% müssen dann alles Phones sein – Tablets haben meist keine hinterlegte Telefonnummer und können auch keine MMS empfangen.

  6. Schnell mal deaktiviert. Geht in den jeweiligen Einstellungen der SMS App.

  7. @Pietz:
    Bei mir: Einstellungen, Mobilfunknetze, Zugangspunkte, den Provider editieren und dann alles zu MMS raussuchen. Bei mir war kein Server konfiguriert.

  8. @pietz
    Findet sich in der SMS-App. Ist (soweit ich weiß) kein Providersetting.

  9. @Matze.B:
    Wen interessieren schon Fakten, wenn man im Sommerloch eine reisserische Panik-Überschrift zu Android (aus einer unbelegten Behauptung) machen kann?

    • @“Hanjo“: Das Zitat fiel von den Machern. Wir machen keine Panik. Zu deinem anderen Problem: schön, dass du mit neuem Namen dabei bist – ich sehe alles 😉 Lag übrigens im Krankenhaus und konnte hier nicht alles wegbloggen 😉

  10. Schade, dass Caschys Blog bei Apple-Problemen zurückhaltender (oder gar nicht) berichtet. So gibt es hier z.B. immer noch keine Meldung zu den Berichten der letzten Woche, dass es durch einen Apple-Bug zu Datenverlusten auf dem neuen MacBook Pro kommt.

  11. @Pietz2:
    Machs wie Ulkfisch, da war bei mir ein Haken drin, könnte also sein, daß es bei mir dennoch gelaufen wäre,

  12. @Matze und Hanjo:
    Alle Zweiräder müssen ab demnächst Benzin mit höheren Ethanol tanken. Würdet ihr bei dem Satz auch sagen, daß man erwähnen muß, daß Fahrräder nicht inbegriffen sind? Ein wenig Hirnschmalz darf ein Autor beim Lesen seiner Artikel schon erwarten.

  13. danke 🙂

  14. Ui MMS. Nutzt das, seit es Messenger gibt, eigentlich noch jemand? 😀

  15. Gelobt seien regelmäßig aktualisierte Custom-ROMs. Amen.

  16. GongGonzo says:

    @Fraggle: Wenn du aber sagst 98% aller Zweiräder, impliziert es auch die ohne Motor.

  17. Und fast niemand wird je einen Patch kriegen. Hach Android ist schon toll

  18. Und das ist der Grund warum ich Windows Phone und nicht so eine Android Rotze nutze…

  19. Haha, das ist „Hanjo“ wieder 😉

    Eine MMS Sicherheitslücke (unterstellt, es gibt sie wirklich) mit Vollzugriff ist ja auch in etwa dasselbe wie ein temporäres iCloud Problem, bei dem unter umständen Daten verloren gehen können, oder ein Bug, der nur bei dem aktuellsten 2015er Macbook Pro 15″ auftrat, und auch nicht grundsätzlich sondern nur bei einigen wenigen Fällen zu Datenverlusten führte, und zudem bereits gefixt ist…
    Es gibt bestimmt genug Menschen, die einfach MMS aktiviert haben und davon dann betroffen wären. Sollte das wahr sein, werden leider sicher der weit überwiegende Teil der Android Geräte überhaupt nicht gefixt, so wie die Browser Sicherheitslücke.

  20. @Tobi:
    Mag sein und durch die lukrative Möglichkeit per Jailbreak Geld zu verdienen, wird bei iOS sicher am intensivsten danach gesucht. Bei Android ist der Root Zugriff ja meistens eine Frage von Tagen und nichts anderes ist der Jailbreak ja auch.
    Die Frage ist aber eher, welche dieser Lücken wirklich problematisch sind und welche nicht. Ich denke durch den streng kontrollierten Appstore und das Sandboxing ist es grundsätzlich schwieriger bei iOS eine Sicherheitslücke auch aktiv auszunutzen. Zudem erfordern viele der Lücken einen physischen Zugriff auf das Gerät. Und ja, die letzte Lücke im Sandboxing zum Auslesen bestimmter Daten und sogar Passwörter ist mir bekannt.
    Grundsätzlich kann Apple aber schnell reagieren, wenn mal etwas dringend gefixt werden muss. Android, und speziell die einzelnen Hersteller Versionen, nicht.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.