Dienstag, 16. April 2024

Archiv

Die Sicherheitslücke "Stagefright"
Schocktherapie für Android

Wer ein Android-Smartphone oder -Tablet besitzt, hat momentan einigen Grund zur Sorge. Über eine kürzlich bekannt gewordene Sicherheitslücke kann das Gerät angegriffen und in eine mobile Abhörwanze verwandelt werden - ohne dass der Anwender etwas merkt. Aber möglicherweise wirkt das wie eine heilsame Schocktherapie für Android.

Von Michael Gessat | 08.08.2015
    Ein riesiges grünes Robotermännchen - Maskottchen für das Google-Betriebssystem Android - steht vor dem Eingang des amerikanischen Internet-Konzerns Google in Mountain View.
    Ein riesiges grünes Robotermännchen - Maskottchen für das Google-Betriebssystem Android. (picture alliance / dpa / Christof Kerkmann)
    Applaus für Joshua Drake, den Entdecker der Stagefright-Sicherheitslücke auf der Blackhat-Konferenz in Las Vegas. Der Android-Experte demonstrierte gleich elf Infektionswege, wie sich der Bug in der Video-Softwarebibliothek ausnutzen lässt - beim Besuchen einer verseuchten Website zum Beispiel, per Bluetooth oder beim Visitenkartenaustausch per Nahfunkstandard NFC. Aber ganz klar: Der Angriffsvektor, der Stagefright so gefährlich macht, das ist der über eine simple MMS. Die Deutsche Telekom stellt die Multimedia-Nachrichten daher seit Dienstag schlicht nicht mehr ungefragt zu.
    Stattdessen werden die Kunden per SMS benachrichtigt – und können dann entscheiden, ob sie dem Absender vertrauen. Aber auch dann ist Vorsicht geboten, schließlich könnte auch der Videoclip vom besten Freund verseucht sein, warnt Thomas Tschersich, Leiter IT-Sicherheit der Telekom: "Man kann mit dieser Angriffsart auch so einen MMS-Wurm generieren, der sich dann selbsttätig von einem Endgerät zum anderen verbreiten würde, das hätte dann eben zur Konsequenz, dass ohne es zu wissen, ein Benutzer mit einem infizierten Gerät wieder andere infizieren würde. All das hat uns in Summe dazu bewegt, diesen MMS-Empfang umzustellen, bis zu dem Zeitpunkt, wo wir möglicherweise eben dann auch Software-Updates für die Geräte zur Verfügung haben, um dann wieder in den normalen Modus wechseln zu können."
    Die Hersteller von Smartphones und Tablets mit Android sind also am Zug. Im Fall von Stagefright macht deren bisherige Strategie, für Sicherheitslücken keine Patches zu liefern, sondern sie erst mit dem nächsten Android-Release zu stopfen, eine ausgesprochen schlechte Figur. Damit hinken sie nämlich meist gewaltig hinterher: Im Durchschnitt 10 Monate, Spitzenreiter liefern allerdings "schon" nach sieben Monaten, so das Ergebnis einer aktuellen Marktübersicht im Computermagazin "c’t". Dass es für viele ältere Geräte überhaupt keine Updates mehr gibt und so Sicherheitslücken einfach ungestopft bleiben, ist für die meisten Hersteller eine nüchterne Kosten-Nutzen-Abwägung.
    Ein aus Kundensicht eigentlich unhaltbarer Zustand, kritisiert Florian Glatzner von der Verbraucherzentrale Bundesverband: "Es gibt da auch Gerichtsurteile aus der Vergangenheit, die eben sagen, dass das Gewährleistungsrecht bei Softwarelücken nicht zählt, nichts desto trotz sollten die Gerätehersteller, möglicherweise auch über eine Gesetzesänderung, in die Pflicht genommen, da für Updates zu sorgen."
    Google, von Stagefright-Entdecker Joshua Drake schon im April vorab informiert, versucht einerseits abzuwiegeln: Ein Großteil der neueren Geräte sei ohnehin nicht übermäßig gefährdet, argumentiert der Android-Security-Chef Adrian Ludwig. Auf der BlackHat-Konferenz verkündete Ludwig dann aber trotzdem einen radikalen Strategiewechsel: Wie bei PC-Betriebssystemen üblich, soll es jetzt auch für Android regelmäßige Patchdays, Reparaturtage und schnelle Bugfixes geben – und zwar möglichst auch bei allen Geräteherstellern. Und die Stagefright-Lücke soll in einer Sonder-Aktion für möglichst viele Endgeräte gestopft werden – "das größte Software-Update, das die Welt jemals gesehen hat", so Ludwig.
    Wann und ob der Patch aber tatsächlich auch auf älteren Smartphones ankommt, ist die Frage. Bis dahin bleibt Anwendern als Erste-Hilfe-Maßnahme nur, in den Geräte-Einstellungen die Funktionen "Hangouts-Messages" und "MMS automatisch abrufen" sofort zu deaktivieren. Für technisch versierte User ist der Umstieg auf eine herstellerunabhängige und stets aktuelle Android-Version wie CyanogenMod eine empfehlenswerte Lösung, meint Florian Glatzner von der Verbraucherzentrale Bundesverband.
    Allerdings müssen sie ihre Geräte dafür "rooten", also sich administrativen Zugriff auf das Gerät verschaffen, und dadurch verlieren Sie dann häufig Ihre Gewährleistungsrechte. "Und dann kann es sein, dass ich ein Gerät kaufe, es ist mit einem älteren Betriebssystem ausgestattet, ich möchte ein neues aufspielen – und dann geht das Gerät aus einem ganz anderen Grund kaputt, und mir wird die Gewährleistung versagt. Das ist auf jeden Fall ein Punkt, wo der Gesetzgeber für Klarstellung sorgen könnte."