Unitymedia: Schutz vor Sicherheitslücke Stagefright bei Android

News vom 12.08.2015

Im Juli dieses Jahres tauchte im Zusammenhang mit mehreren Sicherheitslücken im Betriebssystem Android von Google der Begriff „Stagefright“ auf. Mehrere Hersteller beziehungsweise Mobilfunkbetreiber haben dagegen bereits Maßnahmen ergriffen, darunter auch Unitymedia

Die deutsche Übersetzung für das englische Wort „Stagefright“ lautet „Lampenfieber“. Konkret werden damit Sicherheitslücken im gleichnamigen Multimedia-Framework von Android bezeichnet.

Was ist Stagefright?
Das Stagefright-Framework ist seit der Android-Version 2.3 die Standardbibliothek für die Vearbeitung von Multimediadateien. Von den Sicherheitslücken dort sind alle Android-Versionen von 2.2 bis 5.1.1, also bis zur derzeitigen Version, betroffen.

Ab der Android-Variante 4.0 ist die Schutzfunktion „Address Space Layout Randomization“ (ASLR) integriert. Durch sie wird die Ausnutzung der Sicherheitslücke erschwert, allerdings nicht komplett unterbunden.

Entdeckt hat die aktuellen Stagefright-Sicherheitslücken Joshua Drake, Mitarbeiter der IT-Sicherheitsfirma Zimperium zLabs: Im April und Mai dieses Jahres hat er sie Google gemeldet. Am 27. Juli 2015 wurden sie veröffentlicht.

Durch die Lücken haben Kriminelle die Möglichkeit, über manipulierte Videodateien Schadprogramme auf mobilen Endgeräten zu verbreiten, beispielsweise um ein Smartphone zu Abhörzwecken zu nutzen.

Laut Wikipedia könne ein Hackerangriff, der auf einer Stagefright-Sicherheitslücke basiert, „über das Zusenden einer MMS- oder Hangouts-Nachricht, über einen Messenger, die Nutzung von Apps, E-Mails, USB, Bluetooth, vCard, SD-Karte, NFC oder den Besuch einer präparierten Webseite“ erfolgen.

Stagefright: Sieben CVE-Nummern
Die „Common Vulnerabilities and Exposures“, kurz: CVE, sind ein Industriestandard für die einheitliche Bezeichnung von Sicherheitslücken und sonstigen Schwachstellen in Computersystemen. Stagefright hat die diese CVE-Nummern:

– CVE-2015-1538
– CVE-2015-1539
– CVE-2015-3824
– CVE-2015-3826
– CVE-2015-3827
– CVE-2015-3828
– CVE-2015-3829

Was Unitymedia und andere gegen Stagefright unternehmen
Um etwas gegen diese Sicherheitslücken zu tun, haben einige Hersteller Software-Updates für ihre jeweiligen Geräten zur Verfügung gestellt.

Unitymedia hat darüber hinaus in einer offiziellen Pressemeldung vom 7. August 2015 verkündet, dass jetzt „alle an Kunden verschickten MMS mit Videos auf ein spezielles Online-Portal umgeleitet“ werden. Bei der Telekom wurde der automatische MMS-Empfang zeitweilig deaktiviert.

Kunden von Unitymedia bekommen nun beim Empfangen einer MMS eine SMS, in der ein Link und ein Passwort enthalten sind. Damit ist es möglich, sich die empfangenen Dateien anzusehen.

Unitymedia rät darüber hinaus zur Abschaltung des Auto-Downloads von MMS: „Sobald es eine dauerhafte Lösung für das beschriebene Problem gibt, wird der MMS Empfang für Kunden wieder wie gewohnt freigeschaltet.“

Generell wird als eine Gegenmaßnahme die Abschaltung des automatischen MMS-Empfangs empfohlen. In Hangouts muss in den Einstellungen die Option „Automatischer MMS-Download“ beziehungsweise in der App „SMS/MMS > Automatisch abrufen“ deaktiviert werden.

Die Hersteller Acer, Google, HTC, Huawei, Lenovo, LG, Motorola, Samsung und Sony wollen bei einigen Android-Geräten die Stagefright-Sicherheitslücken durch ein Update schließen.

(eh/teledir)

Tipps:

Weitere News:

Schreiben Sie einen Kommentar
Ihr Name

Ihre E-Mail (wird nicht angezeigt)

Ihre Webseite (optional)

Ihr Kommentar
Mit der Nutzung dieses Formulars erklärst Du dich mit der Speicherung und Verarbeitung Deiner Daten (Datenschutzerklärung) durch diese Webseite einverstanden.

Tarife vergleichen
Nutzen Sie hierfür die Vergleichs-Button neben oder unter den einzelnen Tarifen.
Handytarife
    0 Tarife ausgewählt » Jetzt vergleichen!
    Internettarife
      0 Tarife ausgewählt » Jetzt vergleichen!
      0