Werbung
Eine neue Android-Sicherheitslücke macht der Sicherheitswelt Sorgen - und Ihr Android-Telefon ist extrem anfällig. Das Problem tritt in Form von sechs Fehlern in einem harmlosen Android-Modul namens auf Lampenfieber, die für die Medienwiedergabe verwendet wird.
Mit den StageFright-Fehlern kann eine von einem Hacker gesendete böswillige MMS bösartigen Code im StageFright-Modul ausführen. Von dort aus hat der Code eine Reihe von Optionen, um die Kontrolle über das Gerät zu erlangen. Derzeit sind etwa 950 Millionen Geräte für diesen Exploit anfällig.
Es ist einfach gesagt die schlimmste Android-Sicherheitslücke in der Geschichte.
Stille Übernahme
Android-Nutzer sind bereits aus gutem Grund über die Sicherheitsverletzung verärgert. Ein kurzer Scan von Twitter zeigt, dass viele wütende Benutzer auftauchen, wenn die Nachrichten das Web durchdringen.
Soweit ich gehört habe, haben selbst Nexus-Geräte keinen Patch erhalten #Lampenfieber. Hat ein Telefon? http://t.co/bnNRW75TrD
- Thomas Brewster (@iblametom) 27. Juli 2015
Ein Teil dessen, was diesen Angriff so beängstigend macht, ist, dass es nur wenige Benutzer gibt, die sich dagegen schützen können. Wahrscheinlich würden sie nicht einmal wissen, dass der Angriff stattgefunden hat.
Um ein Android-Gerät anzugreifen, muss der Benutzer normalerweise eine bösartige App installieren. Dieser Angriff ist anders: Der Angreifer muss lediglich Ihre Telefonnummer kennen und eine schädliche Multimedia-Nachricht senden.
Abhängig davon, welche Messaging-App Sie verwenden, wissen Sie möglicherweise nicht einmal, dass die Nachricht angekommen ist. Zum Beispiel: Wenn Ihre MMS-Nachrichten durchlaufen werden Andoids Google Hangouts So verwenden Sie Google Hangouts auf Ihrem Android-GerätGoogle+ Hangouts ist die Antwort von Google auf Chatrooms. Mit Video-, Audio- und Text-Chat sowie mehreren optionalen Apps können Sie mit bis zu 12 Personen abhängen. Hangout ist auf Ihrem Android verfügbar ... Weiterlesen Die böswillige Nachricht könnte die Kontrolle übernehmen und sich verstecken, bevor das System den Benutzer überhaupt darüber informiert, dass sie angekommen ist. In anderen Fällen wird der Exploit möglicherweise erst aktiviert, wenn die Nachricht tatsächlich angezeigt wird. Die meisten Benutzer schreiben sie jedoch einfach als harmlos ab Spam-Text Identifizieren Sie unbekannte Nummern und blockieren Sie Spam-Textnachrichten mit Truemessenger für AndroidTruemessenger ist eine fantastische neue App zum Senden und Empfangen von Textnachrichten. Sie kann Ihnen sagen, wer eine unbekannte Nummer ist, und Spam blockieren. Weiterlesen oder eine falsche Nummer.
Im System hat der in StageFright ausgeführte Code automatisch Zugriff auf die Kamera und das Mikrofon sowie auf die Bluetooth-Peripheriegeräte und alle auf der SD-Karte gespeicherten Daten. Das ist schon schlimm genug, aber (leider) ist es nur der Anfang.
Während Android Lollipop implementiert eine Reihe von Sicherheitsverbesserungen 8 Möglichkeiten Ein Upgrade auf Android Lollipop macht Ihr Telefon sichererUnsere Smartphones sind voller vertraulicher Informationen. Wie können wir uns also schützen? Mit Android Lollipop, das im Sicherheitsbereich eine große Rolle spielt und Funktionen bietet, die die Sicherheit auf ganzer Linie verbessern. Weiterlesen sind die meisten Android-Geräte Es werden immer noch ältere Versionen des Betriebssystems ausgeführt Eine Kurzanleitung zu Android-Versionen und -Updates [Android]Wenn Ihnen jemand sagt, dass er Android ausführt, sagt er nicht so viel, wie Sie denken. Im Gegensatz zu den wichtigsten Computerbetriebssystemen ist Android ein umfassendes Betriebssystem, das zahlreiche Versionen und Plattformen abdeckt. Wenn du willst... Weiterlesen und sind anfällig für etwas, das als "Privilegien-Eskalationsangriff" bezeichnet wird. Normalerweise sind Android-Apps “Sandkasten Was ist eine Sandbox und warum sollten Sie in einer spielen?Hochkonnektive Programme können viel bewirken, aber sie sind auch eine offene Einladung für schlechte Hacker zum Streik. Um zu verhindern, dass Streiks erfolgreich werden, müsste ein Entwickler jedes einzelne Loch in ... Weiterlesen ", Damit sie nur auf die Aspekte des Betriebssystems zugreifen können, für die sie eine ausdrückliche Nutzungserlaubnis erhalten haben. Durch Eskalationsangriffe auf Berechtigungen kann bösartiger Code das Android-Betriebssystem dazu verleiten, ihm immer mehr Zugriff auf das Gerät zu gewähren.
Sobald die böswillige MMS die Kontrolle über StageFright übernommen hat, kann sie diese Angriffe verwenden, um die vollständige Kontrolle über ältere, unsichere Android-Geräte zu übernehmen. Dies ist ein Alptraumszenario für die Gerätesicherheit. Die einzigen Geräte, die gegen dieses Problem völlig immun sind, sind solche, auf denen Betriebssysteme ausgeführt werden, die älter als Android 2.2 (Froyo) sind. Dies ist die Version, mit der StageFright überhaupt erst eingeführt wurde.
Langsame Antwort
Die StageFright-Sicherheitsanfälligkeit wurde ursprünglich im April von aufgedeckt Zimperium zLabs, eine Gruppe von Sicherheitsforschern. Die Forscher meldeten das Problem an Google. Google hat schnell einen Patch für Hersteller veröffentlicht. Allerdings haben nur sehr wenige Gerätehersteller den Patch tatsächlich auf ihre Geräte übertragen. Der Forscher, der den Fehler entdeckt hat, Joshua Drake, glaubt, dass etwa 950 Millionen Von den geschätzten einer Milliarde im Umlauf befindlichen Android-Geräten sind sie anfällig für irgendeine Form des Angriffs.
Yay! @ BlackHatEvents akzeptierte gnädig meine Vorlage, um über meine Forschung zu sprechen @AndroidStageFright! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20. Mai 2015
Laut Drake wurden Googles eigene Geräte wie das Nexus 6 teilweise gepatcht, obwohl einige Sicherheitslücken bestehen bleiben. In einer E-Mail an FORBES zu diesem Thema versicherte Google den Nutzern, dass
„Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die die Nutzung erschweren sollen. Android-Geräte enthalten auch eine Anwendungssandbox zum Schutz von Benutzerdaten und anderen Anwendungen auf dem Gerät. “
Dies ist jedoch nicht viel Komfort. Bis Android Jellybean Top 12 Jelly Bean-Tipps für ein neues Google Tablet-ErlebnisAndroid Jelly Bean 4.2, das ursprünglich auf dem Nexus 7 ausgeliefert wurde, bietet ein großartiges neues Tablet-Erlebnis, das frühere Android-Versionen übertrifft. Es hat sogar unseren ansässigen Apple-Fan beeindruckt. Wenn Sie ein Nexus 7 haben, ... Weiterlesen Das Sandboxing in Android war relativ schwach, und es sind mehrere Exploits bekannt, mit denen man es umgehen kann. Es ist wirklich wichtig, dass die Hersteller einen geeigneten Patch für dieses Problem herausbringen.
Was kannst du tun?
Leider können Hardwarehersteller diese Art kritischer Sicherheitspatches nur sehr langsam einführen. Es lohnt sich auf jeden Fall, sich an die Kundendienstabteilung Ihres Geräteherstellers zu wenden und nach einem Kostenvoranschlag zu fragen, wann Patches verfügbar sein werden. Der öffentliche Druck wird wahrscheinlich dazu beitragen, die Dinge zu beschleunigen.
Für Drake plant er, das volle Ausmaß seiner Ergebnisse auf der DEFCON, einer internationalen Sicherheitskonferenz, die Anfang August stattfindet, zu enthüllen. Hoffentlich wird die zusätzliche Werbung die Gerätehersteller dazu anregen, Updates schnell zu veröffentlichen, da der Angriff allgemein bekannt ist.
Im weiteren Sinne ist dies ein gutes Beispiel dafür, warum die Fragmentierung von Android ein solcher Sicherheitsalptraum ist.
Wieder ist es eine Katastrophe #Android Updates liegen in den Händen der Hardwarehersteller. Sollte Android ernsthaft schaden. #Lampenfieber
- Mike? (@mipesom) 27. Juli 2015
In einem gesperrten Ökosystem wie iOS könnte ein Patch dafür in wenigen Stunden veröffentlicht werden. Unter Android kann es aufgrund der enormen Fragmentierung Monate oder Jahre dauern, bis jedes Gerät auf dem neuesten Stand ist. Ich bin gespannt, welche Lösungen Google in den kommenden Jahren entwickelt, um diese sicherheitsrelevanten Updates den Geräteherstellern aus den Händen zu halten.
Sind Sie ein Android-Benutzer, der von diesem Problem betroffen ist? Besorgt über Ihre Privatsphäre? Teilen Sie uns Ihre Meinung in den Kommentaren mit!
Bildnachweis: Hintergrundbeleuchtete Tastatur von Wikimedia
Andre ist ein im Südwesten ansässiger Schriftsteller und Journalist, der garantiert bis zu 50 Grad Celsius funktionsfähig bleibt und bis zu einer Tiefe von zwölf Fuß wasserdicht ist.