Unitymedia: Schutz vor Sicherheitslücke Stagefright bei Android
News vom 12.08.2015Im Juli dieses Jahres tauchte im Zusammenhang mit mehreren Sicherheitslücken im Betriebssystem Android von Google der Begriff „Stagefright“ auf. Mehrere Hersteller beziehungsweise Mobilfunkbetreiber haben dagegen bereits Maßnahmen ergriffen, darunter auch Unitymedia …
Die deutsche Übersetzung für das englische Wort „Stagefright“ lautet „Lampenfieber“. Konkret werden damit Sicherheitslücken im gleichnamigen Multimedia-Framework von Android bezeichnet.
Was ist Stagefright?
Das Stagefright-Framework ist seit der Android-Version 2.3 die Standardbibliothek für die Vearbeitung von Multimediadateien. Von den Sicherheitslücken dort sind alle Android-Versionen von 2.2 bis 5.1.1, also bis zur derzeitigen Version, betroffen.
Ab der Android-Variante 4.0 ist die Schutzfunktion „Address Space Layout Randomization“ (ASLR) integriert. Durch sie wird die Ausnutzung der Sicherheitslücke erschwert, allerdings nicht komplett unterbunden.
Entdeckt hat die aktuellen Stagefright-Sicherheitslücken Joshua Drake, Mitarbeiter der IT-Sicherheitsfirma Zimperium zLabs: Im April und Mai dieses Jahres hat er sie Google gemeldet. Am 27. Juli 2015 wurden sie veröffentlicht.
Durch die Lücken haben Kriminelle die Möglichkeit, über manipulierte Videodateien Schadprogramme auf mobilen Endgeräten zu verbreiten, beispielsweise um ein Smartphone zu Abhörzwecken zu nutzen.
Laut Wikipedia könne ein Hackerangriff, der auf einer Stagefright-Sicherheitslücke basiert, „über das Zusenden einer MMS- oder Hangouts-Nachricht, über einen Messenger, die Nutzung von Apps, E-Mails, USB, Bluetooth, vCard, SD-Karte, NFC oder den Besuch einer präparierten Webseite“ erfolgen.
Stagefright: Sieben CVE-Nummern
Die „Common Vulnerabilities and Exposures“, kurz: CVE, sind ein Industriestandard für die einheitliche Bezeichnung von Sicherheitslücken und sonstigen Schwachstellen in Computersystemen. Stagefright hat die diese CVE-Nummern:
– CVE-2015-1538
– CVE-2015-1539
– CVE-2015-3824
– CVE-2015-3826
– CVE-2015-3827
– CVE-2015-3828
– CVE-2015-3829
Was Unitymedia und andere gegen Stagefright unternehmen
Um etwas gegen diese Sicherheitslücken zu tun, haben einige Hersteller Software-Updates für ihre jeweiligen Geräten zur Verfügung gestellt.
Unitymedia hat darüber hinaus in einer offiziellen Pressemeldung vom 7. August 2015 verkündet, dass jetzt „alle an Kunden verschickten MMS mit Videos auf ein spezielles Online-Portal umgeleitet“ werden. Bei der Telekom wurde der automatische MMS-Empfang zeitweilig deaktiviert.
Kunden von Unitymedia bekommen nun beim Empfangen einer MMS eine SMS, in der ein Link und ein Passwort enthalten sind. Damit ist es möglich, sich die empfangenen Dateien anzusehen.
Unitymedia rät darüber hinaus zur Abschaltung des Auto-Downloads von MMS: „Sobald es eine dauerhafte Lösung für das beschriebene Problem gibt, wird der MMS Empfang für Kunden wieder wie gewohnt freigeschaltet.“
Generell wird als eine Gegenmaßnahme die Abschaltung des automatischen MMS-Empfangs empfohlen. In Hangouts muss in den Einstellungen die Option „Automatischer MMS-Download“ beziehungsweise in der App „SMS/MMS > Automatisch abrufen“ deaktiviert werden.
Die Hersteller Acer, Google, HTC, Huawei, Lenovo, LG, Motorola, Samsung und Sony wollen bei einigen Android-Geräten die Stagefright-Sicherheitslücken durch ein Update schließen.
Tipps:
- Sie haben Fragen? Stellen Sie diese zum Thema: mobile Internettarife
- Vergleichen und Geld sparen: mobile Internettarife
Weitere News:
- iPhone und iPad: Update für Apple iOS wegen Problem mit SSL-Verschlüsselung
- Unitymedia KabelBW & Co.: Sicherheitshinweis Fritz!Box
- Keine „Zwangsdigitalisierung“ bei Kabel BW, Kabel Deutschland und Unitymedia
- Unitymedia KabelBW: Horizon TV für Android seit 30. Juni 2014
- Unitymedia Kabel BW: Umbenennung von Horizon TV in Horizon Go