Die Ende Juli bekannt gewordene Stagefright-Sicherheitslücke in Android-Geräten hat eine mindestens ebenso fiese Schwester, sagen die Entdecker von der Firma Zimperium. Sie nennen sie originellerweise Stagefright 2. Wie schon Nummer eins soll sie dazu führen, dass potenziell rund eine Milliarde Smartphones und Tablets unbemerkt zu Abhörwanzen werden.

Zur Erinnerung: In Googles Betriebssystem Android ist eine sogenannte media playback engine namens Stagefright enthalten. Die ließ sich mit präparierten MMS dazu verleiten, vom Anwender unbemerkt einen Schadcode auszuführen. Im schlimmsten Fall ließ sich diese Attacke dann soweit ausbauen, dass Angreifer die Kontrolle über Mikrofon, Kamera, SD-Karte und einiges mehr übernehmen und den Android-Nutzer somit ausspionieren konnten.

Sicherheitsforscher von Zimperium hatten die Schwachstelle entdeckt und der Einfachheit halber ebenfalls Stagefright genannt. Und weil theoretisch (aber nicht praktisch) alle Android-Versionen ab 2.2 betroffen waren, gaben sie ihr noch die Titel "Einhorn im Herzen von Android", "Mutter aller Android-Verwundbarkeiten" und "Schlimmste Android-Sicherheitslücke in der Geschichte mobiler Betriebssysteme". So überdramatisiert das auch geklungen haben mag, es hatte Folgen: Google verkündete kurze Zeit später, künftig monatliche Sicherheitsupdates für Android zu veröffentlichen. Samsung und LG versprachen, diese umgehend an ihre Kunden weiterzugeben. So eine Reaktion gibt es nicht alle Tage.

Gefahr durch präparierte Musik- und Videodateien

Dass es ein zweites Stagefright geben würde, also die Schwester der Mutter aller usw., war kein Geheimnis. Zimperium-Forscher Josh Drake will gleich elf verschiedene Wege entdeckt haben, die Stagefright-Lücke für einen Angriff auszunutzen. Und das Konkurrenzunternehmen TrendMicro hatte Mitte August eine artverwandte Attacke präsentiert.

Von Stagefright 2 sollen prinzipiell alle Android-Versionen von 1.0 bis 5.1.1 betroffen sein, und damit wie erwähnt rund eine Milliarde Geräte. Der Fehler liegt in einer Android-Bibliothek namens libutils und wie sie Metadaten von MP3- und MP4-Dateien verarbeitet. Demnach ist es möglich, in diese Verarbeitung auch einen Schadcode einzubeziehen, wenn dieser in der entsprechenden MP3- oder MP4-Datei versteckt wurde. Von diesem Punkt aus könnten sich Angreifer wiederum weiterarbeiten, bis sie die Kontrolle über das Gerät bekommen. Behaupten zumindest die Zimperium-Forscher in einem Statement für das ForbesMagazine.

Google veröffentlicht ein Sicherheitsupdate

Voraussetzung wäre, dass sich ein Opfer auf eine Website oder in eine App locken lässt, in der eine präparierte Datei eingebettet ist. Die Datei selbst muss nicht gezielt geöffnet werden, was den Angriff so perfide macht. Android-Versionen ab 5.0 müssen allerdings mit einer separaten Stagefright-Attacke darauf vorbereitet werden, schränkt Zimperium ein. Aber auch das sei möglich, wie eigene Experimente gezeigt haben sollen. Weitere Details wollte das Unternehmen vorerst nicht nennen.

Für einen erfolgreichen Angriff bis hin zur Kontrolle über ein fremdes Gerät muss also einiges zusammenkommen, zumal auch in Android diverse Sicherheitsvorkehrungen verbaut sind. Dass demnächst eine Milliarde Smartphones und Tablets akut gefährdet sind, darf man also getrost als Übertreibung von Zimperium ansehen. Google nimmt Stagefright 2 dennoch ernst. Das Unternehmen weiß seit einigen Wochen von der Lücke und veröffentlicht am kommenden Montag ein Sicherheitsupdate, von dem unmittelbar aber wohl nur die Nexus-Geräte profitieren dürften. Wann andere Hersteller nachziehen und ihre Android-Smartphones gegen Stagefright 2 absichern, ist laut Forbes noch offen.