Immer wieder einmal tauchen in Android Sicherheitslücken auf, die aber in den meisten Fällen keine große Verbreitung finden und ein Zutun des (naiven) Nutzers erfordern. Jetzt ist eine Lücke aufgetaucht, bei der ein Angreifer komplett ohne zutun des Nutzers die volle Kontrolle über das Smartphone übernehmen kann – und das ohne dass der Nutzer dies bemerkt. Betroffen sind ca. 18 Prozent aller Android-Nutzer – eine gigantische Masse von 950 Millionen betroffenen Nutzern. Und ein Patch wird es für die meisten wohl nicht geben.
Das Sicherheitsunternehmen Zimperium Mobile Security hat eine schwere Lücke in Android entdeckt, mit der ein Angreifer durch einfaches senden einer MMS die volle Kontrolle über das Smartphone übernehmen kann. Dazu wird eine MMS an das Smartphone des Nutzers gesendet, in der ein kurzes Video enthalten ist. In diesem Video befindet sich der Schadcode, der automatisch und ohne Zutun des Nutzers ausgeführt wird. Im schlimmsten Falle wird der Nutzer also niemals bemerken dass das Smartphone infiltriert worden ist.
Schuld an dieser Lücke ist die Tatsache wie Android eingehende Nachrichten behandelt: Eingebettete Videos werden automatisch ausgelesen um anschließend in der Galerie des Nutzers bereit gestellt zu werden – und an dieser Stelle passiert es. Durch fehlerhaften Code im Video wird diese Funktion entführt und ermöglicht dem Schadcode den vollen Zugriff und lässt diesen auch Funktionen wie die Kamera oder das Mikrofon steuern – und das ganze ohne Abfrage von Berechtigungen. Noch bevor das Smartphone den Nutzer über die eingegangen Nachricht informiert, wird der Code ausgeführt – so dass dieser potenziell auch einfach die Benachrichtigung deaktivieren und sich selbst verstecken kann.
Betroffen sind alle Android-Versionen bis einschließlich Jelly Bean – und damit ganze 88 Prozent der derzeitigen Android-Installationsbasis. Google hat zwar bereits einen Patch herausgegeben und an die Gerätehersteller verschickt – aber ob diese den Code jemals verwerten werden ist natürlich eine andere Frage. Alte Smartphones und Android-Versionen werden bekanntlich kaum noch oder nie mit Updates versorgt, so dass bei sehr vielen Nutzern die Lücke wohl ungestopft bleiben wird. Google selbst kann kein Update ausrollen, da es sich um eine Systemfunktion handelt und diese nicht über den Play Store oder die Play Services aktualisiert wird.
Zwar ist derzeit der Schadcode noch nicht bekannt bzw. auch noch kein Video aufgetaucht dass ein Smartphone infizieren kann, aber das wird wohl nur eine Frage der Zeit sein. Geräte über Jelly Bean sind von der Lücke nicht betroffen, so dass sich Nutzer mit einer aktuellen Android-Version keine Sorgen machen müssen. Google muss nun aber darüber nachdenken, ob man nicht auch diese Systemfunktionen in die Play Services auslagert um sie selbst aktualisieren zu können – so wie man es etwa auch bei Web View getan hat.