"Ding-ding-ding-ding-ding". Und das war es auch schon - der kurze Benachrichtigungs-Sound könnte ab sofort der erste und einzige Hinweis darauf gewesen sein, dass Ihr Android-Smartphone gerade gehackt wurde. Die Stagefright-Sicherheitslücke lässt sich nämlich durch eine simple MMS, eine Video-Kurznachricht, ausnutzen.

Entdeckt hat das Problem und die Angriffsmöglichkeit der US-amerikanische Computerexperte Joshua Drake. Und die eigentliche Fehlfunktion steckt in einem Softwaremodul, das im Android-Betriebssystem für die Anzeige von Videos zuständig ist. Dieses Modul namens "Stagefright" erstellt bei jeder hereinkommenden MMS-Nachricht erst einmal automatisch ein Vorschaubildchen. Und führt dabei automatisch einen im Video eingebetteten Schadcode aus. Danach ist das Gerät infiziert.

Im schlimmsten Fall, nämlich bei älteren Android-Smartphones oder Tablets, hat der Angreifer nun die komplette Kontrolle über alle Daten und alle Kommunikation. In jedem Fall bekommt der Schadcode offenbar zumindest Zugriff auf Mikrofon, Kamera und eingesteckte Speicherkarten.

Joshua Drake hat seine Entdeckung dem Hersteller von Android, also der Firma Google, schon im April gemeldet. Ein Update steht bereit, das die Lücke schließt. Wer ein Gerät von Google selbst (Markenname Nexus) besitzt, bekommt das wohl in den nächsten Tagen automatisch eingespielt. Andere Hersteller brauchen aber traditionellerweise viel länger mit der Anpassung auf ihre modifizierten Android-Versionen.
Was fatal ist - ältere Android-Geräte bekommen gar keinen Support, keine Updates mehr. Da bleibt die "Stagefright"-Lücke also sperrangelweit offen. Eine Notlösung wäre, beim Mobilfunkbetreiber den MMS-Versand blockieren zu lassen - bei vielen Providern wird dann aber auch gleich der Internetzugang mit abgeklemmt. Nichtstun ist allerdings auch nicht ratsam.