Wie 95% der Android-Handys mit einem einzigen Text gehackt werden können
Eine neue Android-Schwachstelle hat die Sicherheitswelt beunruhigt - und macht Ihr Android-Handy extrem anfällig. Das Problem besteht aus sechs Fehlern in einem harmlosen Android-Modul namens StageFright, das für die Medienwiedergabe verwendet wird.
Die StageFright-Fehler ermöglichen einer böswilligen MMS, die von einem Hacker gesendet wird, böswilligen Code im StageFright-Modul auszuführen. Von dort aus hat der Code eine Reihe von Optionen, um die Kontrolle über das Gerät zu erlangen. Derzeit sind ungefähr 950 Millionen Geräte für diesen Exploit anfällig.
Es ist einfach die schlimmste Android-Schwachstelle in der Geschichte.
Stille Übernahme
Android-Nutzer sind über die Verletzung bereits verärgert, und das aus gutem Grund. Ein kurzer Scan von Twitter zeigt, dass viele verärgerte Benutzer auftauchen, während die Nachrichten das Web durchdringen.
Soweit ich höre, haben selbst Nexus-Geräte keinen Patch für #Stagefright erhalten. Hat irgendein Telefon? http://t.co/bnNRW75TrD
- Thomas Fox-Brewster (@iblametom) am 27. Juli 2015
Ein Grund, warum dieser Angriff so beängstigend ist, ist, dass es wenig Benutzer gibt, um sich dagegen zu schützen. Wahrscheinlich würden sie nicht einmal wissen, dass der Angriff stattgefunden hat.
Um ein Android-Gerät anzugreifen, muss der Benutzer normalerweise eine bösartige App installieren. Dieser Angriff ist anders: Der Angreifer muss lediglich Ihre Telefonnummer kennen und eine schädliche Multimedia-Nachricht senden.
Je nachdem, welche Messaging-App Sie verwenden, wissen Sie möglicherweise nicht einmal, dass die Nachricht eingetroffen ist. Zum Beispiel: Wenn Ihre MMS-Nachrichten durch Andoids Google-Hangouts gehen So verwenden Sie Google-Hangouts auf Ihrem Android So verwenden Sie Google-Hangouts auf Ihrem Android-Gerät Google+ Hangouts ist die Antwort von Google auf Chatrooms. Sie können mit bis zu 12 Personen mit Video-, Audio- und Text-Chat sowie mit verschiedenen optionalen Apps abhängen. Hangout ist auf Ihrem Android verfügbar… Lesen Sie mehr. Die bösartige Nachricht könnte die Kontrolle übernehmen und sich verstecken, bevor das System den Benutzer sogar darüber informiert, dass es eingetroffen ist. In anderen Fällen wird der Exploit möglicherweise erst gestartet, wenn die Nachricht tatsächlich angezeigt wird. Die meisten Benutzer würden sie jedoch einfach als harmlosen Spam-Text abschreiben. Identifizieren Sie unbekannte Nummern und blockieren Sie Spam-Textnachrichten mit Truemessenger für Android. Identifizieren Sie unbekannte Nummern und blockieren Sie Spam-Textnachrichten mit Truemessenger für Android Truemessenger ist eine fantastische neue App zum Senden und Empfangen von Textnachrichten. Sie kann Ihnen sagen, wer eine unbekannte Nummer ist, und Spam blockieren. Lesen Sie mehr oder eine falsche Nummer.
Innerhalb des Systems haben Code, der in StageFright ausgeführt wird, automatisch Zugriff auf die Kamera und das Mikrofon sowie auf Bluetooth-Peripheriegeräte und alle auf der SD-Karte gespeicherten Daten. Das ist schon schlimm genug, aber (leider) ist es erst der Anfang.
Während Android Lollipop eine Reihe von Sicherheitsverbesserungen implementiert 8 Möglichkeiten, ein Upgrade auf Android Lollipop zu machen, macht Ihr Telefon sicherer 8 Möglichkeiten, ein Upgrade auf Android Lollipop macht Ihr Telefon sicherer Unsere Smartphones enthalten viele sensible Informationen. Wie können wir uns also schützen? Mit Android Lollipop, der im Bereich der Sicherheit eine große Rolle spielt, werden Funktionen zur Verbesserung der Sicherheit auf breiter Front integriert. Weitere Informationen, auf den meisten Android-Geräten werden noch ältere Versionen des Betriebssystems ausgeführt. Eine Kurzanleitung für Android-Versionen und Updates [Android] Eine Kurzanleitung für Android-Versionen und Updates [Android] Wenn jemand Ihnen sagt, dass er Android nutzt, ist dies nicht der Fall soviel sagen, wie du denkst. Im Gegensatz zu den wichtigsten Computer-Betriebssystemen ist Android ein breites Betriebssystem, das zahlreiche Versionen und Plattformen abdeckt. Wenn Sie möchten… Lesen Sie mehr und sind anfällig für etwas, das als a bezeichnet wird “Privileg Eskalationsangriff.” Normalerweise sind Android-Apps “Sandkasten Was ist ein Sandkasten, und warum sollten Sie in einem spielen? Was ist ein Sandkasten? Und warum sollten Sie in einem spielen? Hochauflösende Programme können eine Menge tun, aber sie sind auch eine offene Einladung für böse Hacker zum Schlagen. Um zu verhindern, dass Streiks erfolgreich sind, müsste ein Entwickler jedes einzelne Loch in… Read More “, Sie dürfen nur auf die Aspekte des Betriebssystems zugreifen, für die sie eine explizite Berechtigung zur Verwendung erhalten haben. Privileg-Eskalationsangriffe erlauben es, bösartigen Code zuzulassen “Trick” Das Android-Betriebssystem gibt ihm immer mehr Zugriff auf das Gerät.
Sobald die bösartige MMS die Kontrolle über StageFright übernommen hat, könnte sie diese Angriffe nutzen, um die vollständige Kontrolle über ältere, unsichere Android-Geräte zu übernehmen. Dies ist ein Albtraum-Szenario für die Gerätesicherheit. Die einzigen Geräte, die absolut immun gegen dieses Problem sind, sind Betriebssysteme, die älter sind als Android 2.2 (Froyo), der Version, mit der StageFright überhaupt eingeführt wurde.
Langsame Antwort
Die StageFright-Schwachstelle wurde ursprünglich im April von Zimperium zLabs, einer Gruppe von Sicherheitsforschern, entdeckt. Die Forscher berichteten das Problem an Google. Google hat schnell einen Patch für Hersteller veröffentlicht - allerdings haben nur wenige Gerätehersteller den Patch auf ihre Geräte verschoben. Der Forscher, der den Fehler entdeckt hat, Joshua Drake, glaubt, dass etwa 950 Millionen der geschätzten eine Milliarde Android-Geräte, die sich im Umlauf befinden, anfällig für irgendeine Form des Angriffs sind.
Yay! @ BlackHatEvents akzeptierte gnädig meine Unterwerfung, um über meine Forschungen zu @ Android's StageFright zu sprechen! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20. Mai 2015
Die eigenen Geräte von Google wie das Nexus 6 wurden nach Angaben von Drake teilweise gepatcht, auch wenn einige Schwachstellen bestehen. In einer E-Mail an FORBES zum Thema beruhigte Google die Nutzer damit,
“Die meisten Android-Geräte, einschließlich aller neueren Geräte, verfügen über mehrere Technologien, die die Nutzung erschweren. Android-Geräte enthalten auch eine Anwendungs-Sandbox, die Benutzerdaten und andere Anwendungen auf dem Gerät schützen soll,”
Dies ist jedoch nicht viel Trost. Bis Android Jellybean Top 12 Jelly Bean-Tipps für ein neues Google Tablet-Erlebnis Top 12 Jelly Bean-Tipps für ein neues Google Tablet-Erlebnis Android Jelly Bean 4.2, ursprünglich auf dem Nexus 7 ausgeliefert, bietet ein großartiges neues Tablet-Erlebnis, das frühere Versionen von Android in den Schatten stellt. Es hat sogar unseren ansässigen Apple-Fan beeindruckt. Wenn Sie ein Nexus 7 haben, ist das Sandboxing in Android relativ schwach, und es gibt verschiedene bekannte Exploits, mit denen Sie umgehen können. Es ist sehr wichtig, dass die Hersteller für dieses Problem einen richtigen Patch herausbringen.
Was kannst du tun?
Leider können Hardwarehersteller solche kritischen Sicherheitspatches nur sehr langsam einführen. Es empfiehlt sich auf jeden Fall, sich an den Kundendienst Ihres Geräteherstellers zu wenden und nach einem Kostenvoranschlag für die Verfügbarkeit von Patches zu fragen. Öffentlicher Druck wird wahrscheinlich dazu beitragen, die Dinge zu beschleunigen.
Für Dkes Seite will er auf der internationalen Sicherheitskonferenz DEFCON, die Anfang August stattfindet, das gesamte Ausmaß seiner Ergebnisse bekannt geben. Es ist zu hoffen, dass die zusätzliche Werbung Gerätehersteller dazu veranlassen wird, Updates schnell zu veröffentlichen, jetzt, da der Angriff allgemein bekannt ist.
Im Großen und Ganzen ist dies ein gutes Beispiel dafür, warum Android-Fragmentierung so ein Sicherheitsalptraum ist.
Wieder ist es ein Desaster, dass #Android-Updates in den Händen der Hardwarehersteller sind. Sollte Android ernsthaft schaden. #Lampenfieber
- Mike (@mipesom) 27. Juli 2015
In einem gesperrten Ökosystem wie iOS könnte ein Patch dafür innerhalb von Stunden rausgeschmissen werden. Unter Android kann es Monate oder Jahre dauern, bis sich jedes Gerät aufgrund der enormen Fragmentierung auf den neuesten Stand bringt. Ich bin gespannt, welche Lösungen Google in den kommenden Jahren auf den Markt bringt, um diese sicherheitsrelevanten Updates aus der Hand der Gerätehersteller zu holen.
Sind Sie ein Android-Nutzer, der von diesem Problem betroffen ist?? Besorgt über Ihre Privatsphäre? Teilen Sie uns Ihre Meinung in den Kommentaren mit!
Bildnachweis: Tastatur mit Hintergrundbeleuchtung von Wikimedia
Erfahren Sie mehr über: Anti-Malware, Smartphone-Sicherheit.