Schwere Sicherheitslücke in Android entdeckt: 950 Millionen Nutzer betroffen

android 

Immer wieder einmal tauchen in Android Sicherheitslücken auf, die aber in den meisten Fällen keine große Verbreitung finden und ein Zutun des (naiven) Nutzers erfordern. Jetzt ist eine Lücke aufgetaucht, bei der ein Angreifer komplett ohne zutun des Nutzers die volle Kontrolle über das Smartphone übernehmen kann – und das ohne dass der Nutzer dies bemerkt. Betroffen sind ca. 18 Prozent aller Android-Nutzer – eine gigantische Masse von 950 Millionen betroffenen Nutzern. Und ein Patch wird es für die meisten wohl nicht geben.


Das Sicherheitsunternehmen Zimperium Mobile Security hat eine schwere Lücke in Android entdeckt, mit der ein Angreifer durch einfaches senden einer MMS die volle Kontrolle über das Smartphone übernehmen kann. Dazu wird eine MMS an das Smartphone des Nutzers gesendet, in der ein kurzes Video enthalten ist. In diesem Video befindet sich der Schadcode, der automatisch und ohne Zutun des Nutzers ausgeführt wird. Im schlimmsten Falle wird der Nutzer also niemals bemerken dass das Smartphone infiltriert worden ist.

Android Sicherheitslücke

Schuld an dieser Lücke ist die Tatsache wie Android eingehende Nachrichten behandelt: Eingebettete Videos werden automatisch ausgelesen um anschließend in der Galerie des Nutzers bereit gestellt zu werden – und an dieser Stelle passiert es. Durch fehlerhaften Code im Video wird diese Funktion entführt und ermöglicht dem Schadcode den vollen Zugriff und lässt diesen auch Funktionen wie die Kamera oder das Mikrofon steuern – und das ganze ohne Abfrage von Berechtigungen. Noch bevor das Smartphone den Nutzer über die eingegangen Nachricht informiert, wird der Code ausgeführt – so dass dieser potenziell auch einfach die Benachrichtigung deaktivieren und sich selbst verstecken kann.

Betroffen sind alle Android-Versionen bis einschließlich Jelly Bean – und damit ganze 88 Prozent der derzeitigen Android-Installationsbasis. Google hat zwar bereits einen Patch herausgegeben und an die Gerätehersteller verschickt – aber ob diese den Code jemals verwerten werden ist natürlich eine andere Frage. Alte Smartphones und Android-Versionen werden bekanntlich kaum noch oder nie mit Updates versorgt, so dass bei sehr vielen Nutzern die Lücke wohl ungestopft bleiben wird. Google selbst kann kein Update ausrollen, da es sich um eine Systemfunktion handelt und diese nicht über den Play Store oder die Play Services aktualisiert wird.



Zwar ist derzeit der Schadcode noch nicht bekannt bzw. auch noch kein Video aufgetaucht dass ein Smartphone infizieren kann, aber das wird wohl nur eine Frage der Zeit sein. Geräte über Jelly Bean sind von der Lücke nicht betroffen, so dass sich Nutzer mit einer aktuellen Android-Version keine Sorgen machen müssen. Google muss nun aber darüber nachdenken, ob man nicht auch diese Systemfunktionen in die Play Services auslagert um sie selbst aktualisieren zu können – so wie man es etwa auch bei Web View getan hat.

[The Verge]



Teile diesen Artikel:

comment ommentare zur “Schwere Sicherheitslücke in Android entdeckt: 950 Millionen Nutzer betroffen

  • Leider hab ich gerad kein Phone mit ausreichend altem Android parat um’s auszuprobieren, aber… Zumindest auf meinem Galaxy S6 kann ich den automatischen Abruf vom MMSen komplett abschalten. Und da ich seit es MMS gibt noch nie eine empfangen habe und wohl auch nicht mehr werde schalt ich’s jetzt ab. (auch wenn’s auf dem S6 unnötig scheint)
    Ich meine (aber weiss es leider gerad nicht) dass man das genauso auch auf älteren Android’s so abschalten kann. Ich denke mal, 99% der Android-User brauchen eh keine MMS, oder?
    Die Frage ist, ob’s hilft! – Von der Logik her müsste es helfen…
    Wer weiss das / wer kann das checken?
    EInfach mal was abschalten ist zwar immer ein doofer Workaround, aber wenn’s hilft… und da es sicher kaum jemandem Schmerzen bereiten wird…….

    Eine weitere Frage ist, was ist mit Whatsapp?? – Whatsapp kippt auch gleich mal alles in die Galerie!

  • Ich kann nicht bestätigen, ob diese Sicherheitslücke wirklich eine große Gefahr darstellt oder nicht, aber zumindesten sind die Zahlen kompletter Humbug. Wenn es alle Android Version bis einschließlich Jelly Beans betrifft, so betrifft dieser Bug nicht Kitkat. Damit sind nicht 88% der Nutzer betroffen sondern „nur“ 48,4 % (nach http://developer.android.com/intl/zh-CN/about/dashboards/index.html). Das ist zwar nicht wenig, aber bei weitem nicht so schlimm als wie es hier behauptet wird.

  • Die Zahlen sind eig. relativ egal, auch 5% wären zu viel. Und Google kann nichts dran machen, weil die Hardwarehersteller den existierenden Bugfix einfach mal nicht auf ältere Geräte ausrollen werden (Hoffentlich findet sich mal ein Hersteller, der’s macht und damit Druck auf die anderen aufbaut !!)

    Aber gerad deswegen hab ich die Hoffnung, dass es hilft, den autom. MMS-Empfang abzuklemmen! MMS braucht doch wirklich (fast) kein Mensch mehr! Und wenn’s fast jeder macht (und es hilft) wird die Sicherheitslücke für die Script-Kiddies so langweilig und uninteressant… Das fieseste dran ist mal wieder eindeutig die sehr große Zielgruppe für Angriffe………….

  • Ich habe gelesen, dass es auch das normale Hangouts betrifft. Wäre auch nicht verwunderlich, schließlich stellt die App ja die Funktionen für SMS/MMS/Hangouts bereit.

  • Ist ja eine üble Nummer. Tja, die Aussage Google kann nichts machen bei den anderen Hardwareherstellern schmerzt natürlich bei einem treuen Galaxy Nexus Besitzer wie mich besonders (gibt ja auch kein Sicherheits-Updates mehr). Mal schauen ob sie sich noch etwas überlegen. Benutze für SMS den neuen Google Messenger und habe dort sicherheitshalber MMS automatisch abrufen deaktiviert. Zusätzlich auch in der Standard App für SMS/MMS und in Hangouts. Ob das etwas bringt, ich hoffe es zumindest. Die nächste Frage wäre natürlich was ist mit allen anderen Apps, die Videos empfangen können, oder ist es nur ein MMS Problem.

  • Und deswegen nur noch Nexus oder Sony. Selber schuld wer HTC, Samsung und Co. noch kauft und nach wenigen Monaten keine Updates mehr erhält.

  • Ähm, Jelly Bean war gleich nochmal welche Versionsnummer? Ich habe 4.1.2 hier. Zahlen kann ich vergleichen und zweifelsfrei entscheiden, was größer oder kleiner ist. Diese Unart, Android-Versionen maximal verwirrend nur mit selten gehörten und zudem uneindeutigen Namen zu bezeichnen, erschwert es zusätzlich, solche ohnehin schrecklichen Probleme zu bewerten. Also, bitte Versionen immer (auch) mit einer vergleichbaren Zahl benennen, sonst halte ich noch 100 % aller Geräte für betroffen.

    Ob das mit Windows Phone wohl besser wäre? Dort kann Microsoft immerhin selbst Updates für das komplette System verteilen, so wie auf dem Desktop. Dass Google dieses seit Jahren bestehende Updateproblem nicht in den Griff bekommt spricht nicht gerade für die Verlässlichkeit der Android-Plattform.

  • Die Zahlen sind Quatsch. Allein so ein Satz wie:
    „Betroffen sind ca. 18 Prozent aller Android-Nutzer – eine gigantische Masse von 950 Millionen betroffenen Nutzern.“

    sollte ohne weitere Kentnisse der Materie nachdenklich stimmen. Zumal von dem Bug ja auch nicht die gesamte Android-Welt betroffen ist, sondern „nur“ Smartphones respektive MMS-Empfangsbereits-Geräte mit einer SIM-Karte. Das zwar vermutlich immer noch die Mehrheit, aber bei so ernsthaften Themen sollte man doch lieber auf „aufwühlende“ Zahlenspiele verzichten. Das schadet der Sache eher.

Kommentare sind geschlossen.