Eine neue Android-Schwachstelle hat die Sicherheitswelt beunruhigt - und Ihr Android-Telefon extrem verwundbar. Das Problem kommt in Form von sechs Bugs in einem harmlosen Android-Modul namens StageFright, das für die Medienwiedergabe verwendet wird.
Die StageFright-Bugs ermöglichen eine bösartige MMS, die von einem Hacker gesendet wird, um bösartigen Code innerhalb des StageFright-Moduls auszuführen. Von dort aus hat der Code eine Reihe von Optionen, um die Kontrolle über das Gerät zu erlangen. Im Moment sind ungefähr 950 Millionen Geräte für diesen Exploit anfällig.
Es ist, einfach gesagt, die schlechteste Android-Schwachstelle in der Geschichte.
Stille Übernahme
Android-Nutzer ärgern sich bereits über den Verstoß, und das aus gutem Grund. Ein kurzer Scan von Twitter zeigt viele wütende Nutzer, die auftauchen, wenn die Nachrichten das Internet durchdringen.
Soweit ich weiß, haben sogar Nexus-Geräte keinen Patch für #Stagefright erhalten. Hat irgendein Telefon? http://t.co/bnNRW75TrD
- Thomas Fox-Brewster (@iblametom) am 27. Juli 2015
Ein Teil von dem, was diesen Angriff so beängstigend macht, ist, dass es wenig Benutzer gibt, die sich dagegen schützen können. Wahrscheinlich würden sie nicht einmal wissen, dass der Angriff stattgefunden hat.
Um ein Android-Gerät anzugreifen, müssen Sie normalerweise eine schädliche App installieren. Dieser Angriff ist anders: Der Angreifer muss lediglich Ihre Telefonnummer kennen und eine bösartige Multimedianachricht senden .
Je nachdem, welche Messaging-App Sie verwenden, wissen Sie möglicherweise nicht einmal, dass die Nachricht angekommen ist. Beispiel: Wenn Ihre MMS-Nachrichten Andoids Google Hangouts verwenden So verwenden Sie Google Hangouts auf Ihrem Android So verwenden Sie Google Hangouts auf Ihrem Android Google+ Hangouts ist die Antwort von Google auf Chat-Rooms. Sie können sich mit bis zu 12 Personen mit Video-, Audio- und Text-Chat sowie mehreren optionalen Apps unterhalten. Der Hangout ist auf Ihrem Android-Gerät ... Read More verfügbar, die bösartige Nachricht könnte die Kontrolle übernehmen und sich verstecken, bevor das System den Benutzer darüber informiert, dass es angekommen ist. In anderen Fällen tritt der Exploit möglicherweise erst ein, wenn die Nachricht tatsächlich angezeigt wird. Die meisten Benutzer schreiben sie jedoch einfach als harmlosen Spamtext aus. Unbekannte Nummern identifizieren und Spam-Textnachrichten mit Truemessenger für Android blockieren Identifizieren Sie unbekannte Nummern und blockieren Sie Spam-Nachrichten mit TrueMessenger für Android TrueMessenger ist eine fantastische neue App zum Senden und Empfangen von Textnachrichten, die Ihnen sagen kann, wer eine unbekannte Nummer ist und Spam blockiert. Lesen Sie mehr oder eine falsche Nummer.
Sobald der Code innerhalb von StageFright installiert ist, hat er automatisch Zugriff auf die Kamera und das Mikrofon sowie auf Bluetooth-Peripheriegeräte und alle auf der SD-Karte gespeicherten Daten. Das ist schlimm genug, aber (leider) ist es nur der Anfang.
Während Android Lollipop eine Reihe von Sicherheitsverbesserungen implementiert 8 Ways Upgraden auf Android Lollipop macht Ihr Telefon sicherer 8 Möglichkeiten Upgraden auf Android Lollipop macht Ihr Telefon sicherer Unsere Smartphones sind voll von sensiblen Informationen, wie können wir uns also sicher halten? Mit Android Lollipop, das im Sicherheitsbereich einen großen Durchbruch erzielt und Funktionen bietet, die die Sicherheit auf der ganzen Linie verbessern. Read More, auf den meisten Android-Geräten werden immer noch ältere Versionen des Betriebssystems ausgeführt. A Kurzanleitung zu Android-Versionen und Updates [Android] Eine Kurzanleitung zu Android-Versionen und Updates [Android] Wenn jemand sagt, dass Android läuft, ist dies nicht der Fall so viel zu sagen, wie du denkst. Im Gegensatz zu den wichtigsten Betriebssystemen für Computer ist Android ein breites Betriebssystem, das zahlreiche Versionen und Plattformen abdeckt. Wenn Sie möchten ... Lesen Sie mehr und sind anfällig für etwas, das als "Privilege Escalation Attack" bezeichnet wird. Normalerweise sind Android-Apps "Sandboxed" Was ist eine Sandbox, und warum sollten Sie in einem spielen Was ist eine Sandbox, und warum sollte Du spielst in Einem Hochkonnektive Programme können viel bewirken, aber sie sind auch eine offene Einladung für schlechte Hacker zum Streik. Um zu verhindern, dass Streiks erfolgreich werden, müsste ein Entwickler jedes einzelne Loch in ... Read More "ausfindig machen und schließen, damit sie nur auf die Aspekte des Betriebssystems zugreifen können, für die sie die ausdrückliche Erlaubnis zur Verwendung erhalten haben. Privilege Eskalation-Angriffe ermöglichen es bösartigem Code, das Android-Betriebssystem auszutricksen, um ihm mehr und mehr Zugriff auf das Gerät zu geben.
Sobald die bösartige MMS die Kontrolle über StageFright übernommen hat, kann sie mithilfe dieser Angriffe die totale Kontrolle über ältere, unsichere Android-Geräte übernehmen. Dies ist ein Albtraum Szenario für Gerätesicherheit. Die einzigen Geräte, die völlig gegen dieses Problem immun sind, sind Betriebssysteme, die älter sind als Android 2.2 (Froyo), das ist die Version, die StageFright überhaupt eingeführt hat.
Langsame Antwort
Die StageFright-Schwachstelle wurde ursprünglich im April von Zimperium zLabs, einer Gruppe von Sicherheitsforschern, entdeckt. Die Forscher berichteten das Problem an Google. Google hat schnell einen Patch für Hersteller veröffentlicht - allerdings haben nur sehr wenige Gerätehersteller den Patch auf ihre Geräte übertragen. Der Forscher, der den Bug entdeckte, Joshua Drake, glaubt, dass etwa 950 Millionen der geschätzten 1 Milliarde Android-Geräte, die im Umlauf sind, anfällig für irgendeine Form des Angriffs sind.
Yay! @BlackHatEvents hat gnädig meine Einreichung akzeptiert, um über meine Forschung zu @Standefright von Android zu sprechen! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20. Mai 2015
Googles eigenen Geräte wie das Nexus 6 wurden teilweise nach Drake gepatcht, obwohl einige Schwachstellen bestehen bleiben. In einer E-Mail an FORBES zu diesem Thema versicherte Google den Nutzern, dass
"Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die die Nutzung erschweren sollen. Android-Geräte enthalten auch eine Anwendungs-Sandbox, die Benutzerdaten und andere Anwendungen auf dem Gerät schützt. "
Dies ist jedoch nicht viel Komfort. Bis Android Jellybean Top 12 Jelly Bean Tipps für ein neues Google Tablet Experience Top 12 Jelly Bean Tipps für ein neues Google Tablet-Erfahrung Android Jelly Bean 4.2, zunächst auf dem Nexus 7 ausgeliefert, bietet eine großartige neue Tablet-Erfahrung, die frühere Versionen von Android überstrahlt. Es hat sogar unseren Apple-Fan beeindruckt. Wenn Sie ein Nexus 7, ... Read More, das Sandboxing in Android ist relativ schwach, und es gibt mehrere bekannte Exploits, die verwendet werden können, um es zu umgehen. Es ist sehr wichtig, dass die Hersteller einen richtigen Patch für dieses Problem bereitstellen.
Was kannst du tun?
Leider können Hardware-Hersteller diese Art von kritischen Sicherheitspatches nur sehr langsam implementieren. Es lohnt sich, sich an die Kundendienstabteilung Ihres Geräteherstellers zu wenden und nach einer Schätzung zu fragen, wann Patches verfügbar sein werden. Der öffentliche Druck wird wahrscheinlich dazu beitragen, die Dinge voranzutreiben.
Für Drake plant er, auf der DEFCON, einer internationalen Sicherheitskonferenz, die Anfang August stattfindet, das volle Ausmaß seiner Ergebnisse zu offenbaren. Hoffentlich wird die zusätzliche Publizität Gerätehersteller dazu bringen, Updates schnell zu veröffentlichen, nachdem der Angriff allgemein bekannt ist.
Im weiteren Sinne ist dies ein gutes Beispiel dafür, warum die Android-Fragmentierung ein solcher Sicherheitsalarm ist.
Wieder ist es eine Katastrophe, dass #Android Updates in den Händen der Hardware-Hersteller sind. Sollte Android ernsthaft schaden. #Lampenfieber
- Mike (@mipesom) 27. Juli 2015
Auf einem gesperrten Ökosystem wie iOS könnte ein Patch dafür in wenigen Stunden rausgebracht werden. Auf Android-Geräten kann es aufgrund der enormen Fragmentierung Monate oder Jahre dauern, bis alle Geräte auf dem neuesten Stand sind. Ich bin gespannt, welche Lösungen Google in den kommenden Jahren auf den Markt bringen wird, um diese sicherheitsrelevanten Updates aus den Händen der Gerätehersteller zu bringen.
Sind Sie ein Android-Nutzer, der von diesem Problem betroffen ist? Sorgen um Ihre Privatsphäre? Lass uns deine Gedanken in den Kommentaren wissen!
Bildnachweis: Backlit Keyboard von Wikimedia