MMS-Lücke: Nutzlose Warnungen
30. Juli 2015
Seit einigen Tagen machen Berichte über diese Sicherheitslücke die Runde: Wer dem Besitzer eines Android-Smartphones eine manipulierte MMS zuschickt, kann die Kontrolle über das Gerät übernehmen. Eine Meldung, die wirklich alle Alarmglocken schrillen lässt, denn immerhin sollen fast 900 Millionen Geräte weltweit betroffen sein. Und wer Sicherheitsexperten zuhört, der merkt schnell, was für ein Scheunentor sich hier für Hacker geöffnet hat. Angreifer bräuchten nur die Handynummer des Opfers, um einen Angriff zu starten, sagt beispielsweise der Sicherhheitsforscher Joshua Drake von der Firma Zimperium.
Freie Bahn für Hacker?
Und weiter: Opfer müssten ein Video aus einer MMS mit Schadcode nicht einmal abspielen, sondern nur die Nachricht ansehen. Unter bestimmten Umständen würden Handybesitzer die manipulierte Nachricht noch nicht einmal bemerken: Der Schadcode könne ausgeführt werden, bevor die Benachrichtigung auf dem Display erscheint. Anfällig sind alle Geräte, auf denen das Betriebssystem Android in den Version 2.2 bis 4.1. läuft. Auch wenn Hersteller Google mittlerweile deutlich weiter ist - aktuell ist man bei Version 5.1.1 - fast die Hälfte der jemals verkauften Android-Gerät hat mit dem Problem zu tun. Unterm Strich sind das fast 900 Millionen Geräte.
Google selbst hat auf die Veröffentlichung erstaunlich gelassen reagiert. Ein Sprecher sagte, so weit man wüsste, sei kein Nutzer direkt von der Schwachstelle betroffen. Zudem habe man ein Update an alle Android-Partner geschickt, so dass diese die Lücke reparieren könnten. Letzteres wird erfahrungsgemäß bei vielen Geräten allerdings nicht passieren. Grund dafür ist die Firmenpolitik von Google. Man gibt das Android-Betriebssystem kostenlos an die Gerätehersteller ab. Allerdings sind diese dann für die Anpassung des System auf ihre spezielle Handy-Hardware verantwortlich.
Warten aufs Update - Warten auf Godot
In diesem Fall heißt das: Hersteller wie Samsung, Motorola oder LG müssten für ihre alten Geräte ein Betriebssystem-Update programmieren und dies den Käufern der Geräte zur Verfügung stellen. Die Vergangenheit hat gezeigt, dass dies kaum passiert: Haben Smartphones erst einmal ein bestimmtes Alter erreicht und sind nicht mehr als Neugeräte im Handel, dann verlieren die Hersteller oft das Interesse an der Produktpflege. Gerade bei dieser Sicherheitslücke dürfte das so sein; die jüngste Android-Version, die von den Problemen betroffen ist - Android 4.1. - stammt aus dem Juni 2012. Die damals aktuellen Smartphones sind heute zum größten Teil nicht mehr im Handel. Nutzer selbst können auch relativ wenig machen, um die Lücke zu schließen. Einzelne Experten empfehlen, automatische Downloads von MMS abzuschalten oder den Empfang von Nachrichten unbekannter Empfänger zu blockieren. Wodurch einem dann natürlich auch - vielleicht wichtige - Nachrichten entgehen können.
Die nächste Sicherheitslücke? Schon entdeckt!
Obwohl die Sicherheitslücke relativ groß und gravierend zu sein scheint, reagieren viele Android-Nutzer bisher gelassen bis gleichgültig darauf - in den Sozialen Medien ist zumindest keine große Diskussion über die MMS-Lücke wahrnehmbar. Gut möglich, dass viele Nutzer inzwischen schon kapituliert haben. Denn fast täglich entdecken Sicherheitsforscher neue Lücken. Aktuelles Beispiel: In den Mulitimedia-Funktionen von Android-Geräten wurde ein weiteres Sicherheitsproblem entdeckt: Ein präpariertes Video kann dazu führen, dass Smartphone oder Tablet-Computer dauerhaft lahmgelegt werden. Besonders pikant: In diesem Fall sind aktuelle Systeme betroffen - bis hin zur neuesten Android-Version 5.1.1. Und auch ein Update ist derzeit weder verfügbar noch angekündigt. Aufregung? Bisher nur in Fachforen. An der Masse der Smartphone-Nutzer scheinen die Warnungen vorbeizugehen. Es gibt einfach zu viele.