Telekom schaltet MMS wegen Android-Lücke Stagefright ab

Die Deutsche Telekom hat für ihre Mobilfunkkunden den automatischen Empfang von Multimedia-Nachrichten auf dem Smartphone vorübergehend abgeschaltet. Der Konzern begründet die Maßnahme mit der von der kürzlich entdeckten Sicherheitslücke Stagefright ausgehenden Gefahr. Von der Blockade sind nicht nur Nutzer eines Android-Smartphones, sondern auch Besitzer von Telefonen mit anderen Betriebssystemen betroffen. Wie ein Sprecher des Unternehmens auf Anfrage von ZDNet bestätigte, ist dies aus technischen Gründen nicht anders möglich.

Mit der Blockade erreicht der Konzern, dass MMS ab sofort nicht mehr ohne Zutun des Nutzers heruntergeladen werden. Stattdessen erhalten Kunden, denen eine MMS geschickt wurde, eine SMS. Darin heißt es „Sie haben eine neue MMS. Sie können diese unter folgendem Link innerhalb von 3 Tagen herunterladen.“ Außerdem werden die für die Website erforderlichen Zugangsdaten übermittelt.

Auf die Stagefright genannte Lücke wurde Ende Juli erstmals von der Sicherheitsfirma Zimperium hingewiesen. Ihren Namen hat die Schwachstelle von der gleichnamigen Komponente in der Mediaplayer-Engine von Android. Über die Lücke sollen sich mit einer MMS beliebige Daten stehlen lassen, die auf dem Smartphone vorliegen. Davon sollen alle Android-Versionen ab 2.2 betroffen sein.

Wie die Lücke ausgenutzt werden kann, unterscheidet sich je nach verwendeter Messaging-App. Teilweise reicht es bereits aus, die Nachricht aufzurufen, ohne jedoch das Video anzusehen. Wer Google Hangouts als Messaging-App einsetzt, wird sogar alleine durch den Empfang infiziert, da dies Videos direkt bei Erhalt dekodiert, um sie fürs Abspielen vorzubereiten.

Wer MMS empfangen will, muss sie sich aufgrund der Maßnahmen gegen die Sicherheitslücke Stagefright bei der Deutschen Telekom jetzt manuell abholen (Screenshot: ZDNet).

Ein Google-Sprecher bestätigte damals gegenüber CNET, dass der Konzern den Herstellern Patches zur Verfügung gestellt habe. Welche aber ihre Geräte wie aktualisieren, konnte er nicht erklären. Die Telekom hat jetzt ebenfalls mitgeteilt, dass sie mit den Herstellern darüber spricht, wie die Sicherheitslücke behoben werden kann. Sobald es eine Lösung gibt, werde wieder auf den gewohnten MMS-Versand umgestellt.

Die Maßnahme der Telekom zeigt zwar Einsatzwillen, es ist aber fraglich, ob damit in Bezug auf die Lücke alle Probleme aus der Welt geschafft sind. Sicherheitsforscher von Trend Micro haben nämlich bereits festgestellt, dass sich die Sicherheitslücke nicht nur mit MMS ausnutzen lässt. Ihnen zufolge sind Exploits auch über entsprechend präparierte Websites und Apps möglich.

Laut Trend Micro kann der Android-Dienst Mediaserver nicht korrekt mit einer deformierten MP4-Datei umgehen. „Wenn der Mediaserver eine solche Datei zu verarbeiten hat, kann es einen Heap Overflow auslösen und Daten im Heap überschreiben“, führt Sicherheitsforscher Wish Wu in einem Blogeintrag aus. „Das kann eine Ausführung von Code bewirken, die wiederum zum Download einer App auf das Gerät führen kann.“

Wu und seine Kollegen demonstrierten mit einer präparierten MP4-Datei, dass sich damit der Heap des Mediaservers zum Absturz bringen lässt. Ein Angreifer könnte aber darüber hinaus einen speziellen Datenblock schaffen, um den Heap zu füllen und Kontrolle über die Code-Ausführung zu bekommen. Außerdem betteten sie die gleiche manipulierte MP4-Datei in eine HTML-Datei ein und luden sie auf einen Webserver. Wurde nun zur Betrachtung die Komponente WebView genutzt, ergaben sich die gleichen Probleme. Die MP4-Datei habe auch dann einen Heap Overflow verursacht, wenn im Mobilbrowser Chrome das Vorausladen und die automatische Wiedergabe von mit dem Video-Tag eingebetteten Videos deaktiviert wurden.