Stagefright ist eine große Sicherheitslücke von Android. Gestern sperrte Telekom den automatischen Empfang von MMS, um die Verteilung des Virus bestmöglich einzudämmen. Bislang war nicht ganz klar, was mit der Lücke alles angestellt werden kann. Auf der Hackerkonferenz Black Hat haben die Entdecker weitere Details bekannt gegeben. Zudem stehen erste Softwareupdates für die Behebung bereit.
Das Unternehmen Zimperium hat die Sicherheitslücke Stagefright Ende vergangenen Monats entdeckt. Die genauen Auswirkungen waren bislang nicht klar. Im Rahmen der Hackermesse Black Hat in Las Vegas haben die Entdecker nun weitere Infos bekannt gegeben. Die Schwachstelle kann unter Anderem das Smartphone zum Abstürzen bringen. Außerdem kann das gesamte Gerät von dem Hacker komplett übernommen werden.
Der Virus wird durch den Mediaserver auf verschiedene Wege eingeschleust. Der Mediaserver wird bei dem Erhalten von neuen Dateien automatisch ausgeführt. Unter Anderem auch bei dem Erhalt von E-Mails, Dateiübertragungen mittels Bluetooth oder eben bei MMS. Letzteres entpuppt sich als äußerst kritisch, da die MMS automatisch geladen wird. Laut Ziperium gibt es insgesamt zehn Wege, das Gerät zu infizieren. Die Lücke besteht bereits seit Android 2.3.
Die Entdecker arbeiten eigenen Angaben zufolge bereits mit den 25 größten Providern und Smartphone-Herstellern zusammen, um das Problem schnellstmöglich zu beheben. Erste Patches werden mittlerweile von einzelnen Herstellern verteilt. Zudem hat Ziperium gemeinsam mit Samsung eine App entwickelt, welche den automatischen MMS-Download unterbindet. Zumindest Telekom-Kunden müssen diese jedoch nicht installieren. Eine weitere App untersucht, ob das Smartphone von Stagefright gefährdet sein könnte.
Aufgrund der neuen Schwachstelle möchte Google gemeinsam mit weiteren Herstellern zukünftig einmal im Monat einen Patchday einführen. Dieser soll neue Updates verteilen, mit welchen vor allem Sicherheitslücken geschlossen werden. Teilnehmende Hersteller sind unter Anderem Samsung, LG, Motorola, Android One, Sony, Motorola, HTC und Weitere. Jedoch stellt dies ein Problem dar: Mobilfunkprovider müssen die jeweiligen Updates zuvor testen und zertifizieren. Der Prozess kann unter Umständen längere Zeit in Anspruch nehmen. Deshalb sei man aktuell auf der Suche, um diesen Prozess zu umgehen beziehungsweise schneller zu gestalten. Einen genauen Termin für die Patchdays gibt es nicht.
Quelle Bild: Shutterstock