Latest in Android

Image credit:

Habe ich StageFright? Was kann das? Wie geht das weg?

Sascha Koesch
August 7, 2015
Share
Tweet
Share

Sponsored Links


Da zur Zeit immer noch sehr viel über StageFright, die vermutlich umfangreichste Sicherheitslücke in Android bislang, berichtet wird und langsam Panik ausbricht, hier ein paar einfache Fakten:

Habe ich StageFright?

Vermutlich, wenn du Android hast. Auch wenn die zunächst postulierten 98% aller Android-Geräte möglicherweise nicht stimmen, ab Froyo (Android 2.2) ist alles drin. Nicht mal alle 5.1.1 Androids sind sicher. Wirklich gesichert ist das Blackphone, Cyanogen Mod ab 12.0 (wohl auch nicht immer, siehe Kommentare) und Firefox 38. Zimperium, die StageFright entdeckt haben, haben auf Google Play eine App für den Test bereitgestellt.

Was kann das?

Je nach Anfälligkeit des jeweiligen Gerätes und der Betriebssystemversion können Angreifer über eine "defekte" mp4-Datei beliebige Programme über einen Absturz des androideigenen Mediaplayers mit Rechten "media" oder "system" ausführen und so beispielsweise Anrufe mithören oder Videos aufzeichen. Mittels System-Zugriffsrechten ist im Prinzip alles möglich.

Wie geht das?

Eine Infektion kann man sich nicht nur über MMS sondern im Prinzip auch über Browser zuziehen. Bei MMS profitiert StageFright davon, dass MMS gelegentlich intern schon gelesen werden, ohne dass man sie wirklich aufruft. Über Browser oder andere Apps ist eine Infektion aber ebenso möglich und kann u.U. auch im Hintergrund geschehen.



Wie geht das weg?

Letztendlich ist eine vollständige Sicherheit gegen StageFright nur durch ein System-Update möglich. Google hat für Nexus welche versprochen und teilweise sogar schon ausgeliefert, Sony, LG, Samsung, HTC und Huawei auch. (Motorola ist erstaunlich still, obwohl wir schon von existierenden Patches für das Moto X in den USA gehört haben. Update: Motorola wird alle gängigen Modelle patchen.) Das Bild oben dürfte einen guten ersten Überblick liefern, welche Smartphones jetzt bald ein Update bekommen sollten, da Patches bereitstehen, aber es sind wohl noch 100e andere. Nun kommt es auf die Herstellerfirmen und die jeweiligen Netz-Provider an, wann ein Update bei einem ankommt.

Was kann ich trotzdem tun?

Ein paar mögliche Attacken kann man verhindern, indem man automatischen Empfang von MMS abschaltet, falls der Netzprovider (T-Mobile) das nicht schon getan haben. Das geht - sollte man Hangouts statt Messages nutzten - in den internen erweiterten SMS-Einstellungen. In Messages lässt sich in den Einstellungen ähnliches abschalten. Firefox 38 als Browser nutzen hilft vor infizierten Webseiten, bei denen wohl selbst ein Embed schon reichen kann, ohne dass man das Video selbst abspielt. Letztendlich hat Zimperium mehr als 11 mögliche Einfallsmöglichkeiten aufgezeigt: MMS, Browser, Download, Email, Physical, NFC, BT, VCard, SDCard, USB, Gallery, Chats. Sicher fühlen sollte man sich also bis zum Update nicht.

Wie sieht das aus? (Checkt die Videos nach dem Break).































All products recommended by Engadget are selected by our editorial team, independent of our parent company. Some of our stories include affiliate links. If you buy something through one of these links, we may earn an affiliate commission.
Share
Tweet
Share

Popular on Engadget

Parallels brings Windows 10 to Chromebooks

Parallels brings Windows 10 to Chromebooks

View
Cyberpunk 2077's dialogue was lip-synced by AI

Cyberpunk 2077's dialogue was lip-synced by AI

View
LG's rollable OLED TV goes on sale for $87,000

LG's rollable OLED TV goes on sale for $87,000

View
iPhone 12 and 12 Pro review: Apple enters the 5G era

iPhone 12 and 12 Pro review: Apple enters the 5G era

View
Windows 10's October update is rolling out with a refreshed Start menu

Windows 10's October update is rolling out with a refreshed Start menu

View

From around the web

Page 1Page 1ear iconeye iconFill 23text filevr