Wie Joshua Drake von Zimperium zLabs herausfand und gegenüber dem Forbes Magazin äußerte, gibt es sieben kritische Schwachstellen im Android Betriebssystem, durch die 95 Prozent dieser Smartphones ohne großen Aufwand gekapert werden können.
„LAMPENFIEBER“
Das Problem liegt in der Software „Stagefright“ (Lampenfieber) begraben. Dabei handelt es sich um ein Tool zur Medienwiedergabe. Wenn ein Angreifer eine MMS oder Google Hangouts Nachricht schickt, in der sich Exploit-Code befindet, braucht das Opfer in einigen Fällen noch nicht einmal die Nachricht öffnen. Der schädliche Code wird bereits ausgeführt, sobald das Android-System die Nachricht verarbeitet. Der Code kann sogar so modifiziert sein, dass er die Nachricht im Anschluss löscht, sodass das Opfer den Angriff niemals mitbekommt.
WAS GENAU BEWIRKT DER ANGRIFF?
Die Ausmaße des Angriffs kommen darauf an, welche Rechte der angegriffene Prozess ausführen kann. Grundsätzlich aber können über die Stagefright-Sicherheitslücke Videos und Audio-Mitschnitte getätigt werden. Außerdem hat der Angreifer Zugriff auf die Mediengalerie und Bluetooth. Eine zusätzliche Sicherheitslücke kann es dem Code aber auch möglich sein, noch weitere Rechte zu bekommen. Laut Drake, war sogar bei einigen älteren Geräten durch den Angriff sofort voller Systemzugriff möglich.
DIESE ANDROID VERSIONEN SIND BETROFFEN
Es sind so gut wie alle Android-Smartphones betroffen, die mit einer aktuelleren Android Version als Version 2.2 laufen. Davon ausgehend, dass es sich dabei in Zahlen um ca. 1 Milliarde Smartphones handelt, muss man von 950 Millionen angreifbaren Handys ausgehen. Drake hatte die Lücken bereits im April entdeckt und die Information an Google weitergegeben. Google hat deshalb Sicherheitspatches für alle sieben entdeckten Sicherheitslücken an die Gerätehersteller verschickt. Aber, wie Forbes berichtet, scheint bisher noch kein einziger Gerätehersteller zum Schutz der Nutzer reagiert zu haben.