Stagefright: Android-Nutzer sollten MMS Auto-Fetching abschalten

Als Schutzmaßnahme vor der Android-Lücke Stagefright empfiehlt der Sicherheitsanbieter Lookout, MMS Auto-Fetching zu deaktivieren. Für diesen Zweck hat das Unternehmen Anleitungen für eine Anzahl von SMS/MMS-Programmen veröffentlicht, denn abhängig von der verwendeten Messaging-App wird die Funktion unterschiedlich abgeschaltet. Lookout-Kunden können sich auch direkt an den Support wenden.

Die Anleitungen umfassen Hilfen für die vier Programme Google Hangouts sowie “Messages”, “Messaging” und “Messenger” unterschiedlicher Android- und Geräteversionen. Wer eine andere App für SMS und MMS einsetzt, kann zu einer von diesen – etwa Hangouts – wechseln und dort die Einstellungen anpassen. Allgemein sollten Android-Nutzer vorsichtig sein, wenn sie Videos aus unbekannter Quelle erhalten. Lookout rät, zu warten, bis ihr Gerät einen Patch erhält – abhängig vom Anbieter und dem Alter des Modells kann dies auch nie der Fall sein.

Die zunächst von Zimperium gemeldete Sicherheitslücke betrifft Lookout zufolge Android 2.2 bis 5.1 und somit nahezu alle Android-Geräte, die aktuell im Umlauf sind. Ein Angriff sei offenbar nicht nur per MMS, sondern auch im Browser möglich.

Der Fehler betrifft die Mediaplayer-Engine von Android, diese trägt den Namen Stagefright. Angreifer können mit einer einfachen MMS, die ein manipuliertes Video enthält, beliebige Daten stehlen. Abhängig von der Messaging-App müssen Nutzer das Video nicht einmal aufrufen, weil etwa Hangouts Video-MMS standardmäßig bei Empfang dekodiert. Bereits im April informierten die Entdecker Google über die Sicherheitslücke. Die Forscher glauben, dass Stagefright bisher nicht ausgenutzt wird.

Gegenüber CNET bestätigte ein Google-Sprecher, man habe die Hersteller mit Patches ausgestattet. Wer von ihnen aber seine Geräte zu aktualisieren plant, wurde nicht kommuniziert. “Die Sicherheit von Android-Nutzern liegt uns am Herzen, weshalb wir schnell reagiert und Partnern Patches bereitgestellt haben, die für jedes Gerät passen. Die meisten Android-Geräte, vor allem neuere, haben diverse Techniken, um ein Ausnutzen solcher Lücken zu erschweren. Zudem gibt es unter Android eine Sandbox für Applikationen, die Nutzerdaten und andere Anwendungen vor Zugriffen schützt.”

Details zu der Lücke wird Zimperium auf der Konferenz Black Hat nennen. Sie beginnt am 1. August in Las Vegas. Exploits für die Lücke dürften im Anschluss nicht mehr lange auf sich warten lassen.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : April-Patchday: Google schließt 68 Sicherheitslücken in Android

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.