Sicherheitslücken bedrohen Millionen Android-Handys

Berlin - Millionen Handys mit dem Betriebssystem Android sind über mehrere Sicherheitslücken angreifbar für Hacker. Davor
warnte das Bundesamt für Sicherheit in der Informationstechnik.

Die Lücken klaffen in der Multimedia-Schnittstelle Stagefright. Damit lasse sich über eine Multimedia-Nachricht Schadcode auf Handys platzieren, berichtete der Sicherheitsfachmann Joshua Drake. Hacker könnten so Daten stehlen, Ton und Video aufnehmen oder auf gespeicherte Fotos zugreifen.

"Angreifer brauchen nur Ihre Handynummer, um von außen ein Programm auszuführen, das sie mit einer besonderen präparierten Multimedia-Nachricht verschicken", schrieben die Sicherheitsforscher um Drake auf dem
Blog ihrer Firma Zimperium. "Diese Lücken sind sehr gefährlich, weil sie ohne das Zutun der Opfer ausgenutzt werden können." Opfer müssten ein Video aus einer MMS mit Schadcode beispielsweise nicht abspielen, sondern nur die Nachricht ansehen,
berichtete Drake dem US-Magazin "Forbes".

Unter bestimmten Umständen würden Handybesitzer die manipulierte Nachricht nicht einmal bemerken: Der Schadcode könne ausgeführt werden, bevor die Benachrichtigung auf dem Display erscheint. Betroffen seien alle Geräte mit dem Android-Betriebssystem ab der
Version 2.2, die 2010 herauskam. Besonders hoch sei das Risiko bei Geräten mit Android-Varianten, die älter als Version 4.1 sind, erklärte Drake.

Hacker könnten sich von der Multimedia-Software weiter auf das Gerät vorarbeiten, warnte Drake. Das hänge davon ab, wie eng die jeweiligen Hersteller die Multimedia-Schnittstelle abgesteckt hätten, oder ob man darüber weitreichenden Zugriff auf das Gerät bekommen könne.

Google erklärte, die Sicherheitslücke sei "unter Laborbedingungen auf älteren Android-Geräten identifiziert" worden. "Nach unserem derzeitigen Wissensstand ist niemand davon betroffen", teilte das Unternehmen mit. Das steht im krassen Widerspruch zu Aussagen von Drake, der schätzt, dass Hunderte Millionen Geräte über die Lücke angreifbar sind.

Für die Millionen Besitzer von Android-Handys und -Tablets gibt es kein zentrales Update, das sie vor der Lücke schützen würde. Google schickte zwar ein Sicherheits-Update an die Hersteller von Android-Geräten. Doch die Handybauer können selbst entscheiden, wie sie Updates an ihre Kunden weitergeben. Einzig bei den den Nexus-Geräten, die Google selbst baut, soll die Lücke in dieser Woche gestopft werden. Der Hersteller HTC sagte Forbes, die Lücke solle in den künftig veröffentlichten Geräten geschlossen werden.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Handybesitzern mit älteren Android-Versionen, auf Version 4.1 oder höher umzusteigen. Wenn das nicht möglich sei, sollten Kunden sich an die Hersteller wenden, "um die Verfügbarkeit von Sicherheitsupdates zur erfragen".

Sicherheitslücken stopfen schwierig
Bei Sicherheitslücken kommen Besitzer von Android-Geräten oft nicht so schnell an nötige Updates. Das liegt am Aufbau von Android, das in Smartphones und Tablets von Herstellern wie Samsung, Sony oder LG steckt. Das Betriebssystem an sich wird von Google programmiert. Doch die Handyhersteller passen es an ihre Geräte an. Für Android gibt es daher keine zentralen Updates wie bei Konkurrent Apple mit seinen iPhones und iPads.

Die Auswirkungen sieht man bei der jüngst bekanntgewordenen Sicherheitslücke Stagefright. Google stopfte zwar die Lücke und verteilte ein Update an die Handyhersteller. Doch die Unternehmen entscheiden selbst darüber, wann und wie sie das Update an ihre Nutzer weitergeben. Daher müssen viele Nutzer nun warten.

Samsung erklärte, man arbeite daran, die Updates zu verbreiten. HTC will sie bei neuen Produkten ab Juli einbauen. Nutzer mit älteren Geräten müssen sich aber wohl selbst um Updates kümmern. Von der Sicherheitslücke sind die Android-Versionen ab 2.2 betroffen. Es gibt auch Android-Varianten ohne Beteiligung von Google, die allerdings nicht sehr weit verbreitet sind. Eine davon, CyanogenMod, schloss die Sicherheitslücke bereits.