Google-Smartphone Nexus 6 © Jewel Samad / AFP / Getty Images

Sicherheitslücken sind wie Superhelden: Sie brauchen heutzutage einen Namen und ein Logo. Rowhammer, Shellshock, Heartbleed – sie alle klingen wie Figuren aus einem Marvel-Comic.

Auftritt Stagefright.

Lampenfieber. Als Name für einen Superhelden eher mittelmäßig furchteinflößend, da hilft auch das schöne Logo wenig. Aber für eine Sicherheitslücke reicht es. Besonders, wenn ihr Entdecker gleich noch drei Titel hinterherschiebt: "Einhorn im Herzen von Android", "Mutter aller Android-Verwundbarkeiten" und "Schlimmste Android-Sicherheitslücke in der Geschichte mobiler Betriebssysteme". Klingt wie Daenerys Sturmtochter aus dem Haus Targaryen, die Erste ihres Namens, Königin der Andalen und der Ersten Menschen, Khaleesi des Dothrakischen Meeres, Brecherin der Ketten und Mutter der Drachen

Details erst zur Black Hat

Der Entdecker heißt Josh Drake, ist Co-Autor des Android Hacker's Handbook und hat ein natürliches Interesse daran, Stagefright zur GröSaZ, zur größten Sicherheitslücke aller Zeiten, zu erklären. Drake arbeitet für Zimperium, eine auf mobile Systeme spezialisierte Sicherheitsfirma aus San Francisco. Also für eine Firma, die Produkte verkauft, mit denen sich Kunden vor genau solchen Gefahren schützen können. In der kommenden Woche beginnen die Hackerkonferenzen Black Hat und DEF CON in Las Vegas, und wer vorab Aufmerksamkeit für seine Arbeit generieren möchte, veröffentlicht sie eben jetzt schon und hebt sich nur noch die Details für seinen Vortrag in Vegas auf.

Daran ist prinzipiell nichts auszusetzen. Wenn ein Problem gleich Millionen von Nutzern betrifft, ist es gut, wenn diese so früh wie möglich davon erfahren, um Schutzmaßnahmen ergreifen zu können. Schwierig ist es nur, zwischen den ganzen Pre-Vegas-Superlativen jene zu identifizieren, die eine ernstzunehmende Gefahr darstellen.

Ob Stagefright in diese Kategorie fällt, ist schwer zu sagen, aber was Drake beschreibt, klingt durchaus dramatisch. Angreifer könnten mit einem unter Umständen nicht erkennbaren Trick die Kontrolle über Mikrofon und Kamera übernehmen, die SD-Karte auslesen und vielleicht noch mehr. Alles, was sie dafür brauchen, ist die Telefonnummer ihres Opfers. Rund 95 Prozent aller Android-Geräte seien betroffen, das wären Hunderte Millionen. Genauer gesagt: alle Smartphones mit einer Android-Version höher als 2.2.

Hangout-Nutzer sind besonders gefährdet

Der Trick funktioniert theoretisch mit allen Apps, die MMS empfangen können, also um Videos oder Audioinhalte erweiterte SMS. Das sind die Standard-SMS-App, die Google-Apps Messenger und Hangouts, aber auch populäre Drittanbieter-Apps wie TextSecure. Damit Nutzer die Multimedia-Inhalte nicht erst laden müssen, erledigt Android das in der Standardeinstellung gleich nach Erhalt der Nachricht ungefragt und selbsttätig. Die entsprechende media playback engine heißt Stagefright. Nach ihr hat Drake die Sicherheitslücke benannt.

Der Sicherheitsforscher hat herausgefunden, wie Angreifer präparierte MMS verschicken können, die nicht nur ein Video, sondern auch einen Schadcode enthalten, der Teile des Smartphones kapert. Nutzer der SMS- oder der Messenger-App müssen die MMS zwar noch aufrufen, merken dann aber nichts weiter von dem Angriff.

Nutzer der Hangouts-App sind noch schlechter dran. Die App würde den Code in der MMS im Hintergrund ausführen, noch bevor das Gerät signalisiert, dass es die MMS bekommen hat. Drake sagt, der Schadcode könne auch so programmiert werden, dass er die MMS so schnell wieder löscht, dass der Nutzer sie nicht einmal sieht.