Millionen Android-Handys bedroht

dpa & tmn
Fr, 31. Juli 2015
Computer & Medien

Hacker konnten über heimlich verschickte Videonachrichten in die Geräte eindringen.

Angriff auf Android | Foto: Pedersen (dpa) — Angriff auf Android Foto: Pedersen (dpa)

Millionen Handys mit dem Betriebssystem Android sind über mehrere Sicherheitslücken angreifbar. Davor warnt das Bundesamt für Sicherheit in der Informationstechnik. Die Lücken klaffen in der Multimedia-Schnittstelle Stagefright. Damit lasse sich über eine Multimedia-Nachricht Schadcode auf Handys platzieren, berichtete der Sicherheitsfachmann Joshua Drake. Hacker könnten so Daten stehlen, Ton und Video aufnehmen oder auf gespeicherte Fotos zugreifen.

"Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonders präparierten Multimedia-Nachricht verschicken", schrieben die Sicherheitsforscher im Blog ihrer Firma Zimperium. "Diese Lücken sind sehr gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden können." Opfer müssten ein Video aus einer MMS mit Schadcode beispielsweise nicht abspielen, sondern nur die Nachricht ansehen, so Drake im US-Magazin "Forbes".

Abhilfe gab es von vielen Herstellern zunächst nicht. Ein Virenschutzunternehmen empfahl Nutzern, den automatischen Empfang von MMS-Nachrichten auszuschalten. Dann würden Botschaften mit dem Schadcode nicht direkt geladen.

Unter Umständen würden Handybesitzer die manipulierte Nachricht nicht einmal bemerken:Der Schadcode könne ausgeführt werden, bevor die Benachrichtigung auf dem Display erscheint. Betroffen seien alle Geräte mit Android ab Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind, erklärte Drake.

Hacker könnten sich von der Multimedia-Software weiter auf das Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die jeweiligen Hersteller die Multimedia-Schnittstelle abgesteckt hätten, oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen könne. Google erklärte, die Sicherheitslücke sei "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden. "Nach unserem derzeitigen Wissensstand ist niemand davon betroffen", hieß es. Das steht im krassen Widerspruch zu Drake, der Hunderte Millionen Geräte für angreifbar hält.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zur erfragen".

BSI: http://dpaq.de/j5Ix2 Forbes: http://dpaq.de/Tiycp Heise Security: http://dpaq.de/thpqz

Ressort: Computer & Medien