Categories: Sicherheit

Telekom schaltet MMS wegen Android-Lücke Stagefright ab

Die Deutsche Telekom hat für ihre Mobilfunkkunden den automatischen Empfang von Multimedia-Nachrichten auf dem Smartphone vorübergehend abgeschaltet. Der Konzern begründet die Maßnahme mit der von der kürzlich entdeckten Sicherheitslücke Stagefright ausgehenden Gefahr. Von der Blockade sind nicht nur Nutzer eines Android-Smartphones, sondern auch Besitzer von Telefonen mit anderen Betriebssystemen betroffen. Wie ein Sprecher des Unternehmens auf Anfrage von ZDNet bestätigte, ist dies aus technischen Gründen nicht anders möglich.

Mit der Blockade erreicht der Konzern, dass MMS ab sofort nicht mehr ohne Zutun des Nutzers heruntergeladen werden. Stattdessen erhalten Kunden, denen eine MMS geschickt wurde, eine SMS. Darin heißt es „Sie haben eine neue MMS. Sie können diese unter folgendem Link innerhalb von 3 Tagen herunterladen.“ Außerdem werden die für die Website erforderlichen Zugangsdaten übermittelt.

Auf die Stagefright genannte Lücke wurde Ende Juli erstmals von der Sicherheitsfirma Zimperium hingewiesen. Ihren Namen hat die Schwachstelle von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Über die Lücke sollen sich mit einer MMS beliebige Daten stehlen lassen, die auf dem Smartphone vorliegen. Davon sollen alle Android-Versionen ab 2.2 betroffen sein.

Wie die Lücke ausgenutzt werden kann, unterscheidet sich je nach verwendeter Messaging-App. Teilweise reicht es bereits aus, die Nachricht aufzurufen, ohne jedoch das Video anzusehen. Wer Google Hangouts als Messaging-App einsetzt, wird sogar alleine durch den Empfang infiziert, da dies Videos direkt bei Erhalt dekodiert, um sie fürs Abspielen vorzubereiten.

Wer MMS empfangen will, muss sie sich aufgrund der Maßnahmen gegen die Sicherheitslücke Stagefright bei der Deutschen Telekom jetzt manuell abholen (Screenshot: ZDNet).

Ein Google-Sprecher bestätigte damals gegenüber CNET, dass der Konzern den Herstellern Patches zur Verfügung gestellt habe. Welche aber ihre Geräte wie aktualisieren, konnte er nicht erklären. Die Telekom hat jetzt ebenfalls mitgeteilt, dass sie mit den Herstellern darüber spricht, wie die Sicherheitslücke behoben werden kann. Sobald es eine Lösung gibt, werde wieder auf den gewohnten MMS-Versand umgestellt.

Die Maßnahme der Telekom zeigt zwar Einsatzwillen, es ist aber fraglich, ob damit in Bezug auf die Lücke alle Probleme aus der Welt geschafft sind. Sicherheitsforscher von Trend Micro haben nämlich bereits festgestellt, dass sich die Sicherheitslücke nicht nur mit MMS ausnutzen lässt. Ihnen zufolge sind Exploits auch über entsprechend präparierte Websites und Apps möglich.

Laut Trend Micro kann der Android-Dienst Mediaserver nicht korrekt mit einer deformierten MP4-Datei umgehen. „Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben“, führt Sicherheitsforscher Wish Wu in einem Blogeintrag aus. „Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.“

Wu und seine Kollegen demonstrierten mit einer präparierten MP4-Datei, dass sich damit der Heap des Mediaservers zum Absturz bringen lässt. Ein Angreifer könnte aber darüber hinaus einen speziellen Datenblock schaffen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen. Außerdem betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun zur Betrachtung die Komponente WebView genutzt, ergaben sich die gleichen Probleme. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurden.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago