Lookout empfiehlt Workaround gegen Stagefright-Lücke in Android

Der Sicherheitsanbieter Lookout hat als Workaround zum Schutz vor der Stagefright genannten Android-Lücke vorgeschlagen, MMS Auto-Fetching abzuschalten. Da dies abhängig von der verwendeten Messaging-App unterschiedlich bewerkstelltigt werden kann, hat er Anleitungen für eine Anzahl von SMS/MMS-Programmen erstellt. Lookout-Kunden können sich auch direkt an den Support wenden.

Die vier abgedeckten Programme sind Google Hangouts sowie „Messages“, „Messaging“ und „Messenger“ unterschiedlicher Android- und Geräteversionen. Wer eine andere App für SMS und MMS einsetzt, kann zu einer von diesen – etwa Hangouts – wechseln und dort die Einstellungen anpassen. Android-Nutzer sollten allgemein bei Videos aus unbekannter Quelle vorsichtig sein, bis ihr Gerät einen Patch für die Lücke erhält – was abhängig vom Anbieter und dem Alter des Modells auch nie der Fall sein kann.

Allgemein bestätigt Lookout, dass die zunächst von Zimperium gemeldete Lücke Android 2.2 bis 5.1 zu betreffen scheint – also fast alle Android-Geräte, die heute im Einsatz sind. Ein Angriff sei offenbar nicht nur per MMS, sondern auch im Browser möglich.

Die Schwachstelle steckt in der Mediaplayer-Engine von Android namens Stagefright und wurde nach dieser auch benannt. Mit einer simplen MMS, die ein präpariertes Video enthält, lassen sich beliebige Daten stehlen. Je nach Messaging-App ist es nicht einmal nötig, es auch aufzurufen, weil etwa Hangouts Video-MMS standardmäßig bei Empfang dekodiert. Google wurde im April informiert. Die Forscher glauben, dass Stagefright bisher nicht ausgenutzt wird.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. „Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.“

Details zu der Lücke wird Zimperium auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de