Eine Sicherheitslücke in Googles Betriebssystem Android bedroht angeblich Millionen Smartphones . Anfällig ist die Multimedia-Schnittstelle "Stagefright" ("Bühnenangst"), über die Angreifer mit manipulierten Multimedia-Nachrichten Schadcode auf die betroffenen Mobilgeräte einschleusen könnten. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist derzeit keine Lösung des Problems in Sicht.
So schützen Sie ihr Android-Smartphone
Gelingt es den Angreifern, das Smartphone mit Schadcode zu infizieren, dann könnten sie Daten stehlen, Ton und Video aufnehmen oder auf gespeicherte Fotos zugreifen. Das erklärte der Sicherheitsfachmann Joshua Drake. Der eigentliche Angriff sei simpel: "Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonderen präparierten Multimedia-Nachricht verschicken", schrieben Drake und sein Team der auf mobile Sicherheit spezialisierten Firma "Zimperium".
Lücken sind sehr gefährlich
Diese Lücken seien sehr gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden könnten. Die Opfer müssten ein Video aus einer MMS-Nachricht nicht einmal abspielen. Es genüge, die Nachricht anzusehen, damit der Schadcode installiert wird, berichtete Drake dem US-Magazin "Forbes".
Hacker könnten sich von der Multimedia-Software weiter auf das Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die jeweiligen Hersteller die Multimedia-Schnittstelle abgesichert hätten, oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen könne.
Infektion geschieht unbemerkt
Unter bestimmten Umständen würden Handybesitzer die manipulierte Nachricht nicht einmal bemerken: Der Schadcode könne ausgeführt werden, noch bevor die Benachrichtigung auf dem Display erscheint. Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind, erklärte Drake.
Google spricht nur von theoretischer Gefahr
Abhilfe gab es von vielen Herstellern zunächst nicht. Ein Virenschutzunternehmen empfahl Nutzern, den automatischen Empfang von MMS-Nachrichten auszuschalten. Dann würden die Botschaften mit dem Schadcode nicht direkt geladen.
Google wiegelte ab und erklärte, die Sicherheitslücke sei "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden. "Nach unserem derzeitigen Wissensstand ist niemand davon betroffen", teilte das Unternehmen mit. Das steht im krassen Widerspruch zu Aussagen von Drake, der schätzt, dass hunderte Millionen Geräte über die Lücke angreifbar sind.
Fehlende zentrale Updates
Für die Millionen Besitzer von Android-Handys und -Tablets gibt es kein zentrales Update , das sie vor der Lücke schützen würde. Google schickte zwar ein Sicherheits-Update an die Hersteller von Android-Geräten. Doch die Handybauer können selbst entscheiden, ob, wann und wie sie Updates an ihre Kunden weitergeben. Einzig bei den Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche gestopft werden. Der Hersteller HTC sagte Forbes, die Lücke solle in den künftig veröffentlichten Geräten geschlossen werden.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zur erfragen".
Weitere spannende Digital-Themen finden Sie hier .