Das Media-Framework von Android, genannt "Stagefright", kommt nicht aus den Schlagzeilen. Ende Juli wurde bekannt, dass eine darin klaffende Lücke potenziell hunderte Millionen Nutzer bedroht.

Eine einzige manipulierte MMS soll reichen, um künftig von außen das Gerät des Users ausspionieren zu können, so die Entdecker von Zimperium, die auf der bald startenden Blackhat-Konferenz nähere Details preisgeben wollen.

Feuer am Dach

Doch möglicherweise ist bereits Feuer am Dach. Laut Heise hat ein chinesischer Blog eine Anleitung veröffentlicht, auf dessen Basis sich der Proof-of-Concept für einen Exploit der Schwachstelle bauen lassen soll. Während dieser aber noch ohne bleibendes Schadenspotenzial ist, soll die russische Firma Intevydis laut Forbes bereits einen funktionierenden Exploit im Programm haben. Er sei demnach schon Bestandteil von VulnDisco, einer Software für Sicherheitspenetrationstests. Die Firma hat auch Kundschaft aus Regierungskreisen.

Damit könnte das bereits theoretisch sehr große Gefahrenszenario bald auch praktisch relevant sein. Betroffen sind offenbar die Android-Versionen 2.2 "Froyo" bis hin zur jüngsten Ausgabe 5.1.1 "Lollipop", wobei einzelne Geräte wie das Nexus 6 offenbar schon gepatcht wurden. Google hat Updates für alle aktuelleren Nexus-Geräte versprochen.

Hersteller müssen reagieren

Selbst beheben können Nutzer das Problem nicht, das Cert Österreich hatte empfohlen, als Workaround den MMS-Empfang zu deaktivieren. Damit eliminiert man allerdings nur einen der möglichen Angriffsvektoren, Attacken sind auch über Apps und Webseiten denkbar. Abhilfe müssen die Gerätehersteller mit Firmwareupdates schaffen, was insbesondere bei älteren Smartphones und Tablets wenig wahrscheinlich ist.

Wer nicht auf eine Reaktion seines Geräteherstellers warten will, kann auch auf die alternative Firmware Cyanogenmod umsteigen – sofern diese für das eigene Gerät verfügbar ist. Die aktuellsten Ausgaben von Cyanogenmod 11 (basierend auf Android 4.4) und 12 bzw. 12.1 (basierend auf 5.0 und 5.1) verfügen bereits über einen Fix.

Zimperium plant, einen eigenen Exploit am 24. August zu präsentieren, würde dies aber vorverlegen, so jemand anderes schon früher einen funktionierenden Angriff zeigt. (gpi, 4.8.2015)