Android-Smartphones - »Mutter aller Sicherheitslücken« (Update)

In allen Versionen des Betriebssystems Android seit Version 2.2 wurden mehrere Sicherheitslücken gefunden, die eine komplette Übernahme durch Angreifer erlauben.

von Georg Wieselsberger,
02.08.2015 11:44 Uhr

Google Android enthält seit Version 2.2 die "Mutter aller Sicherheitslücken". (Bildquelle: Android.com)Google Android enthält seit Version 2.2 die "Mutter aller Sicherheitslücken". (Bildquelle: Android.com)

Update: In den letzten Tagen wurden immer mehr kritische Sicherheitslücken in Android bekannt. Zunächst meldeten die Sicherheitsforscher von Trend Micro, dass speziell manipulierte MKV-Videos Geräte ab Android 4.3 oder neuer so gut wie unbrauchbar machen lässt, auch wenn Google der Ansicht ist, dass der Angriff zu umständlich sei, um eine große Gefahr darzustellen. Nach aktuellem Stand muss entweder eine App mit Schadsoftware installiert sein oder eine präparierte Webseite besucht werden, die dann aber auch Sicherheitsmaßnahmen in Google Chrome umgehen muss. Google hat am 22. Juli 2015 einen Patch veröffentlicht, den aber die Gerätehersteller weiterreichen müssen.

Wie Heise nun meldet, kann hat das Multimedia-System von Android ab 4.0.1 bis 5.1.1. eine weitere Lücke, die MP4-Dateien betrifft. Hier kann auch Code eingeschleust werden, der dann mit den Rechten des Android-Mediaservers läuft und so weitere Angriffe ermöglicht. Wann diese Lücke geschlossen wird, ist bislang nicht bekannt.

Quelle: Heise

Originalmeldung: Auf mehr als 75 Prozent aller Smartphones weltweit läuft das Betriebssystem Android von Google, in dem nun Sicherheitsexperten von Zimperium ab Version 2.2 mehrere Sicherheitslücken gefunden haben. Durch Ausnutzen dieser Lücken ist es Angreifern möglich, ein Smartphone komplett zu übernehmen. Dazu reicht es aus, die Telefonnummer zu kennen und eine entsprechend manipulierte Nachricht mit einem angehängten Video an diese Nummer zu versenden.

Der versteckte Angriffscode in dieser Nachricht funktioniert über die Messaging-App Hangouts sofort, noch bevor das Smartphone seinen Besitzer überhaupt über das Eintreffen einer Nachricht informiert. Die Sicherheitslücke wird also schon ausgenutzt, während das Smartphone die eingehende Nachricht erst noch verarbeitet. Bei einer Standard-App muss der Nutzer die Nachricht aufrufen, doch obwohl der Schadcode im Video steckt, wird dieser aktiv, auch wenn das Video selbst gar nicht angesehen wird.

Sobald der Schadcode läuft, können die Angreifer Daten kopieren, löschen, Kamera und Mikrofon ansteuern und laut dem Sicherheitsexperten Joshua Drake alles machen, was ihnen einfällt. Dazu gehört sogar, dass sich die Nachricht nach der Ankunft direkt selbst löscht und so der Besitzer des Smartphones nicht einmal über ihr Eintreffen informiert wird. Bislang gibt es aber keine Hinweise darauf, dass die Sicherheitslücke ausgenutzt wird. Google selbst ist seit April 2015 informiert und hat auch die von Drake vorgeschlagenen Patches akzeptiert. Die entsprechenden Updates seien an die Hersteller von Android-Smartphones verschickt worden. Nun liegt es an den Herstellern, diese auch bald an die Nutzer zu verteilen. Drake will die »Mutter aller Android-Sicherheitslücken« auf der Blackhat-Konferenz 2015, die Anfang August startet, offenlegen.

Quelle: NPR


Kommentare(53)

Nur angemeldete Benutzer können kommentieren und bewerten.