Sicherheitsforscher: „Schlimmste Android-Lücke“ gefunden, betrifft 95 Prozent aller Geräte

Von Sicherheitslücken und potentiellen Bedrohungen hören wir fast jeden Tag. Gerade nach dem Leak der Hacking Team-Daten wird noch einiges auf uns zukommen. Im August steht wieder in Las Vegas die Black Hat 2015 an, eine Sicherheitskonferenz, auf der oftmals Sicherheitslücken aufgezeigt werden. Auch die Firma Zimperium will dort etwas vorführen und spricht von einer Lücke („die schlimmste Android-Lücke, die es je gegeben hat!“) namens Stagefright, die 95 Prozent der Android-Geräte mit Android 2.2 bis 5.1 betreffen soll.

Android

Angreifer sollen über eine MMS-Mediendatei Zugriff auf das System des Opfers bekommen können, das Wissen der Telefonnummer des Opfers vorausgesetzt. Laut Zimperium wiegt die Lücke schwer, denn sie erfordert kein Eingreifen des Opfers – so wie es beispielsweise bei Angriffen über präparierte PDF-Dateien der Fall ist. Google soll bereits die entsprechenden Sicherheitsvorkehrungen im Android Open Source Project getroffen haben, was natürlich nicht immer heißt, dass ein Patch auch sofort beim Anwender landet. Schauen wir also Anfang August mal alle, was an neuen Bedrohungen potentiell auf uns zukommt. (Update 18:00 Uhr: bei Forbes melden sich Sicherheitsforscher mit weiteren Details zu Wort).

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. MMS? Echt? Bei mir ist der automatische Abruf dieser deaktiviert seit ich denken kann… Wie soll dann diese Mediendatei ankommen? Gehöre ich wohl zu den 5%.

  2. MMS habe ich schon seit mindestens 10 Jahren nicht mehr bekommen. Ist bei mir standardmäßig deaktiviert.

  3. @Tom: Geht mir auch so. Habe den automatischen MMS Download schon ewige Zeiten deaktiviert. Man muss nur aufpassen, dass einem das Hangouts nicht wieder aktiviert.

  4. Wo findet man bei Android die Einstellung dazu? Oder ist das ein Provider Setting?

  5. 95% kann wohl nicht sein denn diese 95% müssen dann alles Phones sein – Tablets haben meist keine hinterlegte Telefonnummer und können auch keine MMS empfangen.

  6. Schnell mal deaktiviert. Geht in den jeweiligen Einstellungen der SMS App.

  7. @Pietz:
    Bei mir: Einstellungen, Mobilfunknetze, Zugangspunkte, den Provider editieren und dann alles zu MMS raussuchen. Bei mir war kein Server konfiguriert.

  8. @pietz
    Findet sich in der SMS-App. Ist (soweit ich weiß) kein Providersetting.

  9. @Matze.B:
    Wen interessieren schon Fakten, wenn man im Sommerloch eine reisserische Panik-Überschrift zu Android (aus einer unbelegten Behauptung) machen kann?

    • @“Hanjo“: Das Zitat fiel von den Machern. Wir machen keine Panik. Zu deinem anderen Problem: schön, dass du mit neuem Namen dabei bist – ich sehe alles 😉 Lag übrigens im Krankenhaus und konnte hier nicht alles wegbloggen 😉

  10. Schade, dass Caschys Blog bei Apple-Problemen zurückhaltender (oder gar nicht) berichtet. So gibt es hier z.B. immer noch keine Meldung zu den Berichten der letzten Woche, dass es durch einen Apple-Bug zu Datenverlusten auf dem neuen MacBook Pro kommt.

  11. @Pietz2:
    Machs wie Ulkfisch, da war bei mir ein Haken drin, könnte also sein, daß es bei mir dennoch gelaufen wäre,

  12. @Matze und Hanjo:
    Alle Zweiräder müssen ab demnächst Benzin mit höheren Ethanol tanken. Würdet ihr bei dem Satz auch sagen, daß man erwähnen muß, daß Fahrräder nicht inbegriffen sind? Ein wenig Hirnschmalz darf ein Autor beim Lesen seiner Artikel schon erwarten.

  13. danke 🙂

  14. Ui MMS. Nutzt das, seit es Messenger gibt, eigentlich noch jemand? 😀

  15. Gelobt seien regelmäßig aktualisierte Custom-ROMs. Amen.

  16. GongGonzo says:

    @Fraggle: Wenn du aber sagst 98% aller Zweiräder, impliziert es auch die ohne Motor.

  17. Und fast niemand wird je einen Patch kriegen. Hach Android ist schon toll

  18. Und das ist der Grund warum ich Windows Phone und nicht so eine Android Rotze nutze…

  19. Haha, das ist „Hanjo“ wieder 😉

    Eine MMS Sicherheitslücke (unterstellt, es gibt sie wirklich) mit Vollzugriff ist ja auch in etwa dasselbe wie ein temporäres iCloud Problem, bei dem unter umständen Daten verloren gehen können, oder ein Bug, der nur bei dem aktuellsten 2015er Macbook Pro 15″ auftrat, und auch nicht grundsätzlich sondern nur bei einigen wenigen Fällen zu Datenverlusten führte, und zudem bereits gefixt ist…
    Es gibt bestimmt genug Menschen, die einfach MMS aktiviert haben und davon dann betroffen wären. Sollte das wahr sein, werden leider sicher der weit überwiegende Teil der Android Geräte überhaupt nicht gefixt, so wie die Browser Sicherheitslücke.

  20. @Tobi:
    Mag sein und durch die lukrative Möglichkeit per Jailbreak Geld zu verdienen, wird bei iOS sicher am intensivsten danach gesucht. Bei Android ist der Root Zugriff ja meistens eine Frage von Tagen und nichts anderes ist der Jailbreak ja auch.
    Die Frage ist aber eher, welche dieser Lücken wirklich problematisch sind und welche nicht. Ich denke durch den streng kontrollierten Appstore und das Sandboxing ist es grundsätzlich schwieriger bei iOS eine Sicherheitslücke auch aktiv auszunutzen. Zudem erfordern viele der Lücken einen physischen Zugriff auf das Gerät. Und ja, die letzte Lücke im Sandboxing zum Auslesen bestimmter Daten und sogar Passwörter ist mir bekannt.
    Grundsätzlich kann Apple aber schnell reagieren, wenn mal etwas dringend gefixt werden muss. Android, und speziell die einzelnen Hersteller Versionen, nicht.

  21. Herr Hauser says:

    @ Sir

    Rotzige Kommentare sind ebenfalls fehl am Platz.

  22. Pro-Apple-Zensur bei Caschy says:

    Interessant, jetzt werden hier schon wieder Apple-kritische Kommentare wie der von Tobi zensiert. Schon grotesk, dass dafür die Apple-Propaganda, die auf Tobi antwortet, stehen bleibt. Aber das Original von Tobi wurde zensiert.

  23. Eine Sicherheitsfirma, die potentielle Lücken für die eigene Publicity ausschlachtet, ist mir nicht besonders geheuer.

  24. @Sir: Qualifizierte Kommentare wie Deiner sind für den Allerwertesten, sagen viel über den Menschen selbst aus. Und in dem Fall ist das Ergebnis nicht positiv.

  25. Schaun wir mal, was dran ist. Mir geht dieser Sicherheitsquatsch und die damit verbundene Häme bei allem Smartphonesystemen langsam aber sicher 🙂 auf den Senkel. Der ganze Rotz kostet laufend Geld, Zeit und Nerven, ich werd mir vermutlich irgendwann wieder ein Dumbphone holen.

  26. @Was ist denn hier los?: Nicht zum Thema gehörendes Blabla-Gelaber wie falsche Behauptungen landen im Killfile. So einfach mache ich mir das, weil ich keine Lust mehr auf die zwei – drei Trolle haben, die mit 100 Namen kommentieren. Dann wische ich später in Ruhe feucht durch und lösche. Zensur? Sei froh, dass du nicht weisst, was Zensur ist. EOT.

  27. Es besteht kein Grund zur Sorge, dies wird gepatcht durch das nächste der ständigen Android-Updates, das die Carrier und Gerätehersteller regelmäßig für ältere und neue Geräte veröffentlichen.

  28. Ich glaub ich muss mich mal näher Informieren, wie sowas überhaupt möglich ist. Das ist ja fast, als hätten die Entwickler nie was von Injections gehört. Hat jemand Links zur Thematik?

  29. So ne Lücke wurde vom Hackingteam für IOS und Android angeboten! Kann man hier schön nachlesen:
    https://wikileaks.org/hackingteam/emails/emailid/15081

  30. Soweit ich gelesen habe betrifft das nur Benutzer von Hangouts, da das speziell präparierte Video von Hangouts unmittelbar bei Eintreffen verarbeitet wird für die Gallerie.
    Da ich auf allen Geräten Hangouts einfriere gehöre ich garantiert zu den nicht betroffenen 5% 🙂

  31. Hangouts? Ist bei mir erst gar nicht vorinstalliert… (OnePlus One)
    Die MMS-Einstellungen sind bei mir von Haus aus (Aldi Talk) gar nicht eingetragen, also gehöre ich auch zu den 5%.
    Sieht eher nach einem „Lückchen“ von einer unseriösen Firma mit „negative mood against android“ aus.

  32. Bis 5.1 heißt das jetzt das 5.1.1 nicht betroffen ist?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.