950 Millionen Android-Handys anfällig für MMS-Attacke

Zimperium zLabs hat eine neue Sicherheitslücke in Android entdeckt, wie Forbes berichtet. Die Lücke betrifft alle Varianten des mobilen Betriebssystems ab Version 2.2 – laut Zimperium sind das bis zu 950 Millionen Geräte. Die Schwachstelle befindet sich in Stagefright, einer Medienwiedergabe-Engine von Android.

Laut Zimperium brauchen Angreifer lediglich eine Telefonnummer, um eine MMS mit Schadcode zu verschicken. Angreifer können so Zugriff auf gespeicherte Fotos und Videos erlangen. Auch das Aufnehmen von Ton und Videos und damit das Abhören des Users soll möglich sein. Die Lücke könnte auch in Kombination mit anderen Lücken genutzt werden, um noch mehr Zugriff auf das Gerät zu erhalten.

Stille Attacke

Je nachdem welche Nachrichten-App der User verwendet, muss er die MMS nicht einmal ansehen, damit der Schadcode ausgeführt wird. Ist Hangouts die Standard-App für MMS, wird der Schadcode ausgeführt, bevor der User überhaupt benachrichtigt wird, dass eine MMS eingetroffen. Laut Zimperium könnten Angreifer so die MMS gleich nach dem Ausführen des Schadcodes löschen. Das Opfer würde nicht bemerken, dass es mit einer MMS angegriffen wurde.

Zimperium hat Google schon im April über die Sicherheitslücke benachrichtigt. Google hat Patches an die Hardware-Hersteller verteilt. Laut Zimperium haben die Hersteller die Patches aber noch nicht für ihre Geräte verteilt. Lediglich das Blackphone und Nexus 6 sollen bisher gepatcht worden sein.